Integrando Eventos Cato com Microsoft Sentinel

Use a integração do Microsoft Sentinel para incluir dados de eventos Cato em seus fluxos de trabalho de monitoramento, correlação e investigação existentes. 

A Cato oferece dois tipos de integração com o Microsoft Sentinel. Cada abordagem oferece vantagens distintas dependendo de seus objetivos e ambiente:

• A integração turnkey nativa envia eventos diretamente da Cato para o Sentinel e os mapeia automaticamente para o modelo de dados do Sentinel, para que dashboards, regras de análise, alertas e outras funcionalidades do Sentinel possam processar os dados de eventos Cato sem a necessidade de parsing ou normalização adicional.
  A integração utiliza o conector padrão do Cato MS Tenant para autenticação e transporte através das integrações Cato Microsoft. O conector compartilhado oferece um fluxo de trabalho de configuração consistente e controle de acesso centralizado para integrações como Entra ID e App e Data API.
• Uma integração personalizada com o GitHub está disponível no repositório GitHub da Cato. Para mais detalhes, consulte Escolhendo entre os métodos de Integração Turnkey Nativa e GitHub Personalizado, abaixo.

A Sample Company usa o Microsoft Sentinel para monitoramento e resposta de segurança centralizados. Como cliente Cato, eles têm dados úteis de recursos de segurança chave, como o IPS. Eles podem usar esta integração para enviar tipos de eventos IPS de alta gravidade diretamente para o Sentinel, onde podem ser facilmente integrados ao fluxo de trabalho existente para a equipe de SoC.

O Locatário MS atua como um conector pai para a maioria dos aplicativos Microsoft. Ao adicionar uma integração da Microsoft, primeiro crie o conector principal. Você só precisa configurar este conector uma vez, e então poderá usá-lo para todos os aplicativos Microsoft.

Defina a integração do Sentinel no CMA especificando o tenant Microsoft alvo, workspace e tabela. Você também pode usar filtros para definir quais eventos incluir na integração. Após salvar a integração do Sentinel, você precisa autenticar no tenant da Microsoft e permitir que a Cato envie dados para a sua conta do Sentinel.

Após criar a integração no CMA, você tem 10 minutos para completar o processo na Microsoft por razões de segurança. Se o processo não for concluído nesse prazo, você precisará excluir a integração na CMA e começar novamente.

Após a integração ser criada, os dados fluem para a Microsoft na tabela que você especificou acima. A Cato adiciona as letras "_CL" ao nome da tabela para ajudar a distingui-la das tabelas incorporadas na Microsoft.

Excluir a integração na CMA não remove nenhum recurso criado na Microsoft.

Nota: Se o acesso ao serviço de terceiros estiver limitado a endereços IP específicos, veja este artigo para a lista de endereços IP da Cato que você precisa permitir. Você deve estar logado para visualizar o artigo.

Filtros

Use filtros para controlar quais eventos Cato são exportados para o Microsoft Sentinel. Isso ajuda a reduzir custos de ingestão, minimizar ruídos e focar investigações nos eventos que são mais relevantes para sites, usuários ou regiões específicas. Você também pode usar filtros para rotear diferentes subconjuntos de eventos para diferentes ambientes SIEM.

Use grupos de filtros para definir filtros baseados em qualquer Campo de Evento ou combinação de campos. Condições dentro de cada grupo usam lógica E. Lógica OU é aplicada entre os grupos. Os filtros na captura de tela configuram a integração para exportar:

• Eventos que originam de Paris ou Madrid, são de subtipo Firewall de Internet, e resultaram em ações diferentes de Monitorar ou Prompt
• Nome de Usuário contém Teste

Para criar a integração Sentinel:

1. No menu de navegação, selecione Recursos > Integrações.
2. Na guia Integrações Configuradas, clique em Novo. O painel Nova Integração é aberto.

3. Selecione Microsoft Sentinel e configure os seguintes campos:

   1. Insira um Nome para esta integração.
   2. Selecione o nome da integração do Inquilino MS no campo Inquilino do Conector. 
   3. Digite o seu Nome do Espaço de Trabalho do Log Analytics existente que recebe os dados no Microsoft Log Analytics.
   4. Digite um novo Nome da Tabela do Log Analytics para armazenar os dados no Espaço de Trabalho do Log Analytics com este nome. 
   5. Defina quantos dias você deseja que a Microsoft retenha os dados da Cato no campo Dias de Retenção da Tabela.
   6. Opcional: Adicione filtros para controlar quais eventos Cato são enviados para o Microsoft Sentinel.
4. Clique em Salvar para implantar a integração na Microsoft. 
   Nota: Você agora tem 10 minutos para completar a configuração no Microsoft.
5. Uma aba do navegador se abre e direciona você para autorizar a criação da integração na Microsoft.
   Nota: Você deve autorizar a integração com o mesmo tenant usado para criar a integração MS Tenant. O usuário deve ter permissões para criar recursos nesse tenant.
6. No portal da Microsoft, selecione o grupo de recursos e a região que contêm o workspace alvo de Log Analytics e clique em Revisar + Criar.
7. Clique em Criar para iniciar a implantação.
8. Quando a implantação estiver concluída, você pode fechar a janela da Microsoft.
9. No CMA, atualize a página de Integrações. O status da integração aparece na aba Aplicativos Integrados.

Além da integração turnkey nativa descrita neste artigo, você também pode integrar eventos Cato com Microsoft Sentinel usando as ferramentas na conta GitHub do Cato. Cada abordagem oferece vantagens distintas dependendo de seus objetivos e ambiente.