Organizações que armazenam e gerenciam dados de eventos em uma conta de Armazenamento Azure podem configurar sua conta Cato para enviar eventos automaticamente e continuamente para ela.
Essa integração empurra eventos diretamente da Nuvem Cato para a conta de armazenamento, ao contrário da API eventsFeed, que exige a extração dos dados do Cato e pode ser afetada por limitação de taxa.
A Nuvem Cato envia dados para a conta de armazenamento a cada 60 segundos, ou sempre que mais de 10 MB de dados forem acumulados. Os dados são transferidos com segurança via HTTPS.
Eventos são enviados em formato comprimido .GZ. Alguns clientes (por exemplo, certos navegadores) podem descomprimir automaticamente esses arquivos sem remover a extensão .GZ. Se isso ocorrer, alterar a extensão do arquivo para LOG ou TXT alinhará corretamente o formato do arquivo com sua extensão.
A empresa exemplo está usando o recurso Monitoramento de Atividades Suspeitas do IPS que gera muitos eventos de segurança. Eles decidem criar uma conta de Armazenamento Azure para armazenar todos os dados de eventos, os quais podem então integrar com sua solução SIEM. A empresa exemplo ativa a Integração de Eventos e adiciona a conta de Armazenamento Azure como uma integração à sua conta Cato para que todos os eventos IPS sejam enviados automaticamente para o Armazenamento Azure.
- Revise os pré-requisitos para todas as integrações de eventos Cato em Introdução às Integrações de Eventos
Crie uma nova conta de armazenamento e contêiner para os dados de eventos Cato. Recomendamos que você não use uma conta de armazenamento existente para a Integração de Eventos. Você pode usar uma string de conexão Azure de uma chave de acesso ou de uma assinatura de acesso compartilhado (SAS).
Para os clientes que estão usando chaves de acesso Azure para autenticar a conta de armazenamento à Cato, copie a string de conexão. Você irá colar a string de conexão das chaves de acesso no Aplicativo de Gerenciamento Cato ao configurar a integração Azure.
Para criar uma conta de armazenamento que use chaves de acesso:
- Crie uma nova conta de armazenamento com as configurações apropriadas.
-
Nos detalhes da Instância, selecione desempenho Padrão.
- Clique em Revisar e depois clique em Criar.
-
-
Crie um novo contêiner para os dados de eventos (Armazenamento de dados > Contêineres).
Você irá inserir o Nome do contêiner no Aplicativo de Gerenciamento Cato quando criar a integração para os eventos (abaixo).
- No painel de navegação à esquerda, vá para a seção Segurança + redes e selecione Chaves de acesso.
-
Copie a string de conexão das chaves de acesso para a conta de armazenamento.
- Continuar com Adicionar Armazenamento de Conta Azure para Eventos (abaixo).
Azure SAS permite que você restrinja permissões para o contêiner de armazenamento, como endereços IP permitidos, e uma data de expiração para a string de conexão.
O token para a string de conexão SAS inclui uma data de expiração, que é mostrada na página de Integração de Eventos. Após a data de expiração, o token não é mais válido e Cato não pode enviar eventos para o contêiner de armazenamento. Para manter o envio ininterrupto de eventos, certifique-se de gerar uma nova string de conexão e aplicá-la à integração antes da data de expiração do SAS.
Para configurar uma conta de armazenamento no Azure para receber dados de eventos Cato:
- Crie uma nova conta de armazenamento com as configurações apropriadas.
-
Nos detalhes da Instância, selecione desempenho Padrão.
- Clique em Revisar e depois clique em Criar.
-
-
Crie um novo contêiner para os dados de eventos (Armazenamento de dados > Contêineres).
Você inserirá o Nome do Contêiner no Aplicativo de Gerenciamento Cato quando criar a integração para os eventos (abaixo).
- No painel de navegação à esquerda, vá para a seção de Segurança + Redes e selecione Assinatura de acesso compartilhado.
-
Configure o SAS com as seguintes permissões de acesso:
- Serviços permitidos - Blob, Arquivo
- Tipos de recursos permitidos - Contêiner, Objeto
- Permissões permitidas - Ler, Escrever, Lista
- Clique em Gerar SAS e string de conexão.
-
Copie a String de Conexão para a conta de armazenamento. Você colará essa string quando criar a integração para os eventos (abaixo).
Crie uma nova integração para a conta de Armazenamento Azure na aba Integração de Eventos, e cole a string de conexão na integração. Esta string dá permissão ao Cato para enviar dados de eventos para a conta de armazenamento. Você não pode editar a string após criar a integração; em vez disso, você pode Redefinir o campo e então colar a string de conexão.
Após definir e ativar a integração de Armazenamento Azure, leva alguns minutos para o Cato começar a enviar eventos para a conta de armazenamento.
Você pode filtrar os eventos que são enviados para a conta de armazenamento por tipo de evento ou subtipo. Por exemplo, você pode enviar apenas eventos IPS para sua conta. Por padrão, nenhum filtro é aplicado e todos os eventos são enviados para a Conta de Armazenamento.
Para adicionar uma integração de Armazenamento Azure e enviar eventos para sua Conta:
- No menu de navegação, selecione Recursos > Integração de Eventos.
- Selecione Habilitar integração com eventos da Cato.
- Clique em Novo. O painel de Nova Integração é aberto.
- Em Integração, selecione Conta de Armazenamento Azure e digite o Nome para a integração.
-
Digite estes Detalhes da Conexão para a integração com base nas configurações no Azure:
- String de Conexão - Cole a string de conexão que você copiou da conta de armazenamento
- Nome - Nome idêntico do contêiner na conta de armazenamento
- (Opcional) Pasta - Nome idêntico para o caminho da pasta dentro do contêiner (se necessário)
-
(Opcional) Defina as configurações de filtro para os eventos que são enviados para a conta de armazenamento.
Quando você define vários filtros, existe uma relação E, e os eventos que correspondem a todos os filtros são enviados.
-
Clique em Aplicar. A Conta de Armazenamento Azure está agora integrada com sua conta.
Nota: Você pode definir até um total de três Integrações de Eventos para sua conta.
0 comentário
Por favor, entre para comentar.