Integrando Eventos Cato com Microsoft Sentinel

Visão geral

Use a integração do Microsoft Sentinel para incluir dados de eventos do Cato nos seus fluxos de trabalho de monitoramento, correlação e investigação existentes. A integração nativa envia eventos diretamente do Cato para o Sentinel e os mapeia automaticamente para o modelo de dados do Sentinel, para que painéis, regras de análises, alertas e outros recursos do Sentinel possam processar os dados de eventos do Cato sem a necessidade de análise ou normalização adicionais.

A integração usa o conector padrão do Cato Microsoft Tenant para autenticação e transporte entre integrações Cato Microsoft. O conector compartilhado oferece um fluxo de trabalho de configuração consistente e controle de acesso centralizado para integrações como Entra ID e App e Data API.

Caso de uso

Uma empresa está usando o Microsoft Sentinel para monitoramento centralizado de segurança e resposta. Como clientes Cato, eles têm dados úteis de recursos de segurança chave, como IPS. Eles podem usar esta integração para enviar tipos de eventos IPS de alta gravidade diretamente para o Sentinel, onde podem ser facilmente integrados ao fluxo de trabalho existente para a equipe de SoC.

Pré-requisitos

  • Uma integração MS Tenant na aba Integrações Configuradas no CMA (Recursos > Integrações)

    Esta é uma integração pai para aplicativos Microsoft

  • Um espaço de trabalho existente do Log Analytics no Sentinel onde eventos do Cato serão armazenados
  • Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, consulte Gerenciando Funções de Admin Usando RBAC.
  • Revise os pré-requisitos para todas as integrações de eventos Cato em Introdução às Integrações de Eventos

Criando a Integração do Inquilino MS

O Locatário MS atua como um conector pai para a maioria dos aplicativos Microsoft. Ao adicionar uma integração com um aplicativo Microsoft, o primeiro passo para configurar a integração é criar o conector pai. Você só precisa configurar este conector uma vez, e ele pode ser usado para todos os aplicativos Microsoft.

Para criar a integração do Inquilino MS:

  1. No menu de navegação, selecione Recursos > Integrações e clique na aba Integrações Ativas .
  2. Clique em Novo. O painel Novo Conector é aberto.

  3. No painel Novo Conector, selecione o aplicativo Locatário MS (Configure um novo Locatário MS).

    Novo_Conector_Microsoft_365.png
  4. Digite Nome do Conector.

  5. Clique em Autorizar e Salvar.

    Uma nova aba do navegador abre para o aplicativo Microsoft 365.

  6. Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:

    1. Selecione a conta Microsoft para o aplicativo Microsoft 365.

      Caso contrário, pode haver um erro de autenticação Microsoft.

    2. Digite a senha para o aplicativo e aprove.
    3. Aceitar as permissões para permitir que a Cato acesse o aplicativo Microsoft 365.

    4. A tela mostra que você aplicou com sucesso as permissões para o aplicativo.

      Success_Conector_Permissões.png

      Você pode fechar a aba do navegador e retornar para o Aplicativo de Gerenciamento Cato.

  7. A aplicação SaaS Microsoft 365 foi adicionada à aba Aplicativos Integrados.

Criando a Integração do Sentinel

Defina a integração Sentinel na CMA especificando o locatário Microsoft alvo, espaço de trabalho e tabela, bem como definindo quais eventos deseja incluir na integração usando filtros. Após salvar a integração do Sentinel, você precisa autenticar-se no locatário Microsoft e permitir que Cato envie dados para sua conta Sentinel.

Após criar a integração no CMA, você tem 10 minutos para completar o processo na Microsoft por razões de segurança. Se o processo não for concluído nesse prazo, você precisará excluir a integração na CMA e começar novamente.

Após a integração ser criada, os dados fluem para a Microsoft na tabela que você especificou acima. A Cato adiciona as letras "_CL" ao nome da tabela para ajudar a distingui-la das tabelas incorporadas na Microsoft.

Excluir a integração na CMA não remove nenhum recurso criado na Microsoft.

Nota: Se o acesso ao serviço de terceiros for limitado a endereços IP específicos, consulte este artigo para a lista de endereços IP da Cato que você precisa permitir (deve estar conectado para visualizar este artigo).

Para criar a integração Sentinel:

  1. No menu de navegação, clique em Recursos > Integrações.
  2. Na guia Integrações Configuradas, clique em Novo. O painel Nova Integração é aberto.

  3. Selecione Microsoft Sentinel e configure os seguintes campos:

    sentinel_3.png
    1. Insira um Nome para esta integração.
    2. Selecione o nome da integração do Inquilino MS no campo Inquilino do Conector
    3. Digite o seu Nome do Espaço de Trabalho do Log Analytics existente que recebe os dados no Microsoft Log Analytics.
    4. Digite um novo Nome da Tabela do Log Analytics para armazenar os dados no Espaço de Trabalho do Log Analytics com este nome. 
    5. Defina quantos dias você deseja que a Microsoft retenha os dados da Cato no campo Dias de Retenção da Tabela.
    6. Adicione um filtro para enviar apenas alguns eventos da Cato para o Microsoft Sentinel. 
  4. Clique em Salvar para implantar a integração na Microsoft. Agora você tem dez minutos para concluir a configuração na Microsoft.

  5. Uma aba do navegador será aberta e direcionará você para autorizar a criação da integração na Microsoft.

    Nota: Você deve autorizar a integração com o mesmo tenant que o conector mestre foi criado na integração do MS Tenant acima e ter um usuário com permissões para criar recursos nesse tenant.

  6. No portal Microsoft, selecione o grupo de recursos e a região que contém o espaço de trabalho alvo do Log Analytics e pressione Revisar + Criar

    sentinel_4.png
  7. Clique em Criar para iniciar a implantação.
  8. Quando a implantação estiver concluída, você pode fechar a janela da Microsoft.

  9. Na CMA, após atualizar a página de Integrações, você pode visualizar o status da integração na aba Aplicativos Integrados.

    image-20251019-105133.png

Escolhendo Entre os Métodos de Integração Nativa Pronta e Personalizada do GitHub

Além da integração turnkey nativa descrita neste artigo, você também pode integrar eventos Cato com Microsoft Sentinel usando as ferramentas na conta GitHub do Cato. Cada abordagem oferece vantagens distintas dependendo de seus objetivos e ambiente.

Quando Usar a Integração Nativa

A integração nativa do Cato oferece uma solução escalável e suportável com configuração mínima. Os benefícios da integração nativa incluem:

  • A capacidade de gerenciar grandes volumes de eventos com eficiência, sem limitações baseadas em API
  • Totalmente mantido e suportado pela Cato
  • Mapeia automaticamente o esquema entre Cato e Microsoft Sentinel

Quando Usar a Integração do GitHub

A integração GitHub oferece flexibilidade para casos de uso avançados onde fontes de dados personalizadas ou lógica de processamento são necessárias. Você pode querer usar esta integração nas seguintes situações:

  • A integração da Cato não suporta o tipo de dados que você deseja ingerir
  • Você deseja personalizar o esquema ou os dados de feed de eventos

Limitações Conhecidas

  • Limitação de evento grande: Alguns eventos XOps podem incluir informações extensas de histórias no campo raw_data, o que pode fazer com que o evento exceda os limites de ingestão do Microsoft Sentinel (aproximadamente 1 MB). Quando isso ocorre, o Cato ainda encaminha o evento para o Sentinel, mas omite o campo raw_data para manter a compatibilidade com os requisitos de ingestão do Sentinel.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário