Integração de Eventos Cato com Conta de Armazenamento Azure

Este artigo explica como integrar uma conta de armazenamento Azure com sua conta Cato para enviar eventos diretamente para uma conta de armazenamento.

Visão Geral da Integração de Eventos

Para os clientes que revisam e analisam dados de eventos em uma conta de armazenamento Azure, você pode configurar sua conta Cato para enviar eventos automaticamente e continuamente. Isso é diferente da API eventsFeed, que requer que os clientes puxem os dados da Cato e é impactada por problemas como limitação de taxa.

O Cato Cloud faz upload de dados para a conta de armazenamento da seguinte forma, a cada 60 segundos, ou quando há mais de 10MB de dados. Cato usa HTTPS para enviar dados para a conta de armazenamento Azure.

Nota

Nota: Você pode definir até um total de três Integrações de Eventos para sua conta.

Caso de Uso de Integração de Eventos

A empresa exemplo está usando o recurso Monitoramento de Atividades Suspeitas do IPS que gera muitos eventos de segurança. Eles decidem criar uma conta de armazenamento Azure para armazenar todos os dados de eventos, que podem então integrar com sua solução SIEM. A empresa exemplo habilita a Integração de Eventos e adiciona a conta de armazenamento Azure como uma integração à sua conta Cato para que todos os eventos de IPS sejam automaticamente enviados para o armazenamento Azure.

Visão Geral de Alto Nível da Integração de Eventos Azure

  1. Criar nova conta de armazenamento Azure e contêiner.

  2. Azure fornece uma string de conexão da seguinte forma:

    1. Chaves de acesso - a string de conexão é gerada automaticamente.

    2. SAS - configure as permissões e configurações recomendadas, e então a string de conexão é gerada.

  3. Crie a integração Azure no Aplicativo de Gerenciamento Cato usando a string de conexão da etapa anterior.

Configurando a Conta de Armazenamento Azure

Crie uma nova conta de armazenamento e contêiner para os dados de eventos Cato. Recomendamos que você não use uma conta de armazenamento existente para a Integração de Eventos. Você pode usar uma string de conexão Azure de uma chave de acesso ou de uma assinatura de acesso compartilhado (SAS).

Usando Chaves de Acesso para a String de Conexão

Para os clientes que estão usando chaves de acesso Azure para autenticar a conta de armazenamento à Cato, copie a string de conexão. Você irá colar a string de conexão das chaves de acesso no Aplicativo de Gerenciamento Cato ao configurar a integração Azure.

Para criar uma conta de armazenamento que use chaves de acesso:

  1. Crie uma nova conta de armazenamento com as configurações apropriadas.

    1. Nos detalhes da Instância, selecione desempenho Padrão.

      basic_storage_account.png

    2. Clique em Revisar e depois clique em Criar.

  2. Crie um novo contêiner para os dados de eventos (Armazenamento de dados > Contêineres).

    Você irá inserir o Nome do contêiner no Aplicativo de Gerenciamento Cato quando criar a integração para os eventos (abaixo).

  3. No painel de navegação à esquerda, vá para a seção Segurança + redes e selecione Chaves de acesso.

  4. Copie a string de conexão das chaves de acesso para a conta de armazenamento.

    access_key_string.png

  5. Continue com Adicionando Armazenamento de Conta Azure para Eventos (abaixo).

Usando SAS para a String de Conexão

Azure SAS permite que você restrinja permissões para o contêiner de armazenamento, como endereços IP permitidos, e uma data de expiração para a string de conexão.

O token para a string de conexão SAS inclui uma data de expiração, que é mostrada na página de Integração de Eventos. Após a data de expiração, o token não é mais válido e Cato não pode enviar eventos para o contêiner de armazenamento. Para manter o envio ininterrupto de eventos, certifique-se de gerar uma nova string de conexão e aplicá-la à integração antes da data de expiração do SAS.

Nota

Nota: Se o acesso ao serviço de terceiros for limitado a endereços IP específicos, consulte este artigo para a lista de endereços IP da Cato que você precisa permitir (deve estar conectado para visualizar este artigo).

Para configurar uma conta de armazenamento no Azure para receber dados de eventos Cato:

  1. Crie uma nova conta de armazenamento com as configurações apropriadas.

    1. Nos detalhes da Instância, selecione desempenho Padrão.

      basic_storage_account.png

    2. Clique em Revisar e depois clique em Criar.

  2. Crie um novo contêiner para os dados de eventos (Armazenamento de dados > Contêineres).

    Você inserirá o Nome do Contêiner no Aplicativo de Gerenciamento Cato quando criar a integração para os eventos (abaixo).

  3. No painel de navegação à esquerda, vá para a seção de Segurança + Redes e selecione Assinatura de acesso compartilhado.

  4. Configure o SAS com as seguintes permissões de acesso:

    • Serviços permitidos - Blob, Arquivo

    • Tipos de recursos permitidos - Contêiner, Objeto

    • Permissões permitidas - Ler, Escrever, Lista

    SAS_settings.png

  5. Clique em Gerar SAS e string de conexão.

  6. Copie a String de Conexão para a conta de armazenamento. Você colará essa string quando criar a integração para os eventos (abaixo).

    sas_string.png

Adicionando Armazenamento de Conta Azure para Eventos

Crie uma nova integração para a conta de armazenamento Azure na aba Integração de Eventos, e cole a string de conexão na integração. Esta string dá à Cato permissão para enviar os dados de eventos para a conta de armazenamento. Você não pode editar a string após criar a integração, em vez disso, você pode Redefinir o campo e, em seguida, colar a string de conexão.

Após definir e ativar a integração de armazenamento Azure, leva alguns minutos para que Cato comece a enviar eventos para a conta de armazenamento.

Você pode escolher filtrar os eventos que são enviados para a conta de armazenamento. Por exemplo, envie apenas eventos IPS para sua conta. A configuração padrão é sem filtro e todos os eventos são enviados para a conta de armazenamento.

EventIntegration.png

Para adicionar uma integração de armazenamento Azure para enviar eventos para sua conta:

  1. No menu de navegação, selecione Recursos > Integração de Eventos.

  2. Selecione Habilitar integração com eventos da Cato.

  3. Clique em Novo. O painel de Nova Integração é aberto.

  4. Em Integração, selecione Conta de Armazenamento Azure e digite o Nome para a integração.

  5. Digite estes Detalhes da Conexão para a integração com base nas configurações no Azure:

    • String de Conexão - Cole a string de conexão que você copiou da conta de armazenamento

    • Nome - Nome idêntico do contêiner na conta de armazenamento

    • (Opcional) Pasta - Nome idêntico para o caminho da pasta dentro do contêiner (se necessário)

  6. (Opcional) Defina as configurações de filtro para os eventos que são enviados para a conta de armazenamento.

    Quando você define vários filtros, existe uma relação E, e os eventos que correspondem a todos os filtros são enviados.

  7. Clique em Aplicar. A conta de armazenamento Azure agora está integrada à sua conta.

    Nota: Você pode definir até um total de três Integrações de Eventos para a sua conta.

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 4

0 comentário