참고
참고: 이것은 한정된 릴리스만 가능한 초기 사용(EA) 기능입니다. 기능 활성화에 대한 자세한 정보는 Cato Networks 담당자에게 문의하거나 ea@catonetworks.com으로 이메일을 보내십시오.
Cato를 통해 이벤트와 흐름을 Splunk로 직접 스트리밍하고 Cato 기술 부가 기능(TA)로 데이터를 Splunk 공통 정보 모델(CIM)에 맞춰서 반복 사용 가능하게 합니다. 덕분에 사용자 정의 구문 분석이 필요 없이 즉시 표준 Splunk 검색, 대시보드, 탐지 콘텐츠를 활용할 수 있습니다. Cato TA는 Cato 텔레메트리를 Splunk 분석, 대시보드 및 탐지와 함께 사용할 수 있도록 CIM-준수 필드로 매핑하는 Splunk 애플리케이션입니다.
CIM-정규화된 데이터가 즉시 Splunk 생태계, 포함 Splunk 엔터프라이즈 보안(ES)에서 사용 가능합니다. 추가 사용자 정의 없이 기본 대시보드, 상관 관계 검색 및 탐지 콘텐츠를 사용하여 운영 오버헤드를 줄이고 네트워크, 보안 및 사용자 활동에 대한 조사 워크플로를 가속화할 수 있습니다.
TA와 함께하는 Cato Splunk 통합은 다음 데이터 소스를 지원합니다:
-
이벤트 - 인터넷 및 WAN 방화벽, 위협 방지, 인증, 시스템 및 연결성 변경을 포함하여 Cato 플랫폼에서 생성된 이벤트
-
플로우 - 애플리케이션 컨텍스트와 집계된 매트릭스가 포함된 풍부한 네트워크 플로우 텔레메트리
다음 형식 중 하나로 데이터를 인제스트할 수 있습니다:
-
네이티브 Cato 스키마
-
Cato TA를 사용한 Splunk 공통 정보 모델(CIM)
CIM 기반 옵션을 사용하면 Splunk의 기본 분석 및 보안 콘텐츠를 빠르게 사용할 수 있습니다.
자세한 정보는 Cato 이벤트를 Splunk CIM 필드 매핑하기(EA)를 참조하십시오.
Cato 테크놀로지 부가 기능과 함께 CIM-정규화된 데이터를 사용하는 것은 다음과 같은 이점을 제공합니다:
-
일관된 분석을 위해 표준화된 Splunk 데이터 모델을 사용
-
Splunk ES에서 기본 제공되는 상관 관계 검색 및 탐지를 실행
-
네트워크, 보안 및 사용자 활동을 위한 사전 구성된 대시보드를 활성화
-
사용자 정의 필드 추출 및 정규화 필요성을 줄입니다.
-
SOC 온보딩 및 조사 워크플로를 가속화합니다.
Splunk 엔터프라이즈 보안(ES)를 사용할 때:
-
CIM-매핑된 데이터가 자동으로 ES 데이터 모델을 채웁니다.
-
사전 빌딩된 상관 관계 검색은 주목할 만한 이벤트를 생성합니다.
-
보안 대시보드는 위협과 활동에 대한 즉각적인 가시성을 제공합니다.
-
ESCU 같은 콘텐츠 팩은 추가 사용자 정의 없이 작동합니다.
Cato 테크놀로지 부가 기능(TA)은 Cato 텔레메트리를 CIM-준수 필드로 정규화합니다. 앱 세부 정보:
-
앱 이름: Cato Networks CIM 부가 기능 for Splunk
-
앱 ID: TA-catonetworks-cim
-
작성자: Cato Networks
통합을 구성하고 테크놀로지 부가 기능을 배포하여 데이터를 정규화하세요.
Cato 테크놀로지 부가 기능과의 통합을 구성하려면 다음을 수행하세요:
-
네비게이션 메뉴에서 리소스 > 통합을 선택합니다.
-
Splunk 통합을 구성하여 데이터를 Splunk 환경으로 스트리밍하세요.
-
데이터 소스를 선택하세요:
-
이벤트
-
플로우
-
-
Splunk 환경에서 Splunk를 위한 Cato Networks CIM 부가 기능을 검색하여 설치합니다.
-
(선택사항) 고급 분석 및 탐지를 위해 Splunk 엔터프라이즈 보안을 활성화하세요.
Splunk에서 가장 좋은 가시성을 얻기 위해 통합을 위해 이벤트와 플로우를 모두 활성화하는 것이 좋습니다. 이렇게 하면 더 넓은 텔레메트리 커버리지 및 관련 트래픽 컨텍스트와 보안 이벤트를 연결할 수 있습니다. 필요한 경우 한 가지 데이터 소스만 활성화할 수 있으며, 이벤트 필터링을 지원합니다. 하지만 전체 가시성 및 통합에는 이벤트와 플로우가 필요합니다.
댓글 0개
댓글을 남기려면 로그인하세요.