이 기사에서는 Cato 이벤트를 전달하기 위해 CrowdStrike 통합을 구성하는 방법을 설명합니다.
참고
참고: Cato 관리 애플리케이션에서 커넥터를 활성화하면 CrowdStrike와 HEC/HTTP 일반 커넥터를 사용할 수 있지만, 벤더별 필드(벤더, 벤더 제품)와 CrowdStrike의 스키마 파싱은 지원되지 않습니다. 벤더별 필드 및 선택적 CrowdStrike 파서는 현재 베타 버전에 있습니다. 더 많은 정보와 이러한 기능을 활성화하려면 CrowdStrike 담당자에게 문의하십시오.
CrowdStrike 차세대 SIEM 통합은 Cato가 네이티브 커넥터를 사용하여 이벤트를 직접 CrowdStrike로 전달할 수 있게 합니다. 정상화된 Cato 이벤트를 스트리밍하여 네트워크 활동, 위협, 사용자, 장치 및 Cato 플랫폼을 거치는 모든 트래픽의 풍부한 컨텍스트와 함께 직접 Falcon Next Gen으로 보낼 수 있습니다. 이를 통해 분석가들은 Falcon을 떠나지 않고 전체 네트워크 컨텍스트를 가지고 조사하고 추적할 수 있습니다.
CrowdStrike 통합을 구성하려면 다음을 수행해야 합니다.
-
SaaS 애플리케이션 내에서 통합을 구성하십시오.
-
Cato 관리 애플리케이션(CMA)에서 API 커넥터를 생성하십시오.
한 회사는 중앙 집중식 보안 모니터링 및 대응을 위해 CrowdStrike를 사용하고 있습니다. Cato 고객으로서 그들은 네트워크 활동, 위협, 사용자 데이터, 장치 및 Cato 플랫폼을 통과하는 모든 트래픽의 모든 측면과 같은 주요 기능으로부터 유용한 데이터를 보유하고 있습니다. 이 통합을 사용하여 해당 데이터를 직접 CrowdStrike로 보내 SOC 및 NOC 팀의 기존 워크플로에 쉽게 통합할 수 있습니다.
-
Falcon Next-Gen SIEM 또는 Falcon Next-Gen SIEM 10GB 구독을 가지고 있어야 합니다.
-
벤더별 필드 및 선택적 CrowdStrike 파서의 경우 beta 기능을 CrowdStrike에서 활성화해야 합니다. 더 많은 정보와 이러한 기능을 활성화하려면 CrowdStrike 담당자에게 연락하세요.
-
커넥터를 추가하려면 자원 섹션에서 통합의 편집자 권한이 필요합니다. 자세한 내용은 관리자 역할 관리 사용법 RBAC를 참조하세요.
-
모든 Cato 이벤트 통합의 전제 조건을 검토하려면 이벤트 통합 시작하기를 참조하십시오.
CrowdStrike 통합을 구성하려면 데이터 연결을 생성합니다.
Falcon 콘솔에서 데이터 연결을 생성하고 XXXXX를 식별하십시오.
CrowdStrike 통합을 구성하려면:
-
Falcon CrowdStrike 콘솔에서 데이터 커넥터 > 데이터 커넥터 > 데이터 연결로 이동합니다.
-
연결 추가를 클릭합니다.
-
제품 필터에서 HEC에 대한 필터를 적용하고 커넥터 유형 필터에서 푸쉬에 대한 필터를 적용하세요.
-
HEC/HTTP 이벤트 커넥터를 클릭하고 구성을 클릭합니다.
-
연결의 이름을 추가하고 다음의 세부 정보들까지 추가합니다(공급업체에서 활성화될 때만 지원됨, 자세한 정보는 전제 조건 참조):
-
벤더: CatoNetworks
-
벤더 제품: CatoNetworksSASECloud
-
(선택 사항) 파서: cato-sase
-
-
약관을 확인하고 연결 생성을 클릭합니다.
-
연결이 생성되면 세 개의 점을 클릭하고 API 키 생성을 선택한 후 API 키 재생성을 선택합니다.
-
API 키와 API URL을 복사하고 저장하여 CMA에 입력할 수 있도록 합니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.