Integração dos Dados Cato com o Splunk

Visão Geral

A integração com Splunk permite que a Cato encaminhe dados diretamente para o Splunk usando um conector nativo e suporta duas fontes de dados:

Eventos - Gerados quando uma atividade específica ocorre na rede ou no sistema, como quando uma regra de política é correspondida ou uma ameaça é detectada. Esses registros fornecem insights discretos e em tempo real sobre segurança e aplicação de políticas. Os dados são enviados usando o esquema de eventos do Cato.
Fluxos - Se originam como fluxos de rede (5-tupla) e são enriquecidos com informações de nível de aplicação à medida que se tornam disponíveis através dos diferentes motores Cato. Além de contexto de aplicação e usuário, os fluxos incluem dados de sessão agregados como bytes, pacotes e duração, fornecendo uma visão completa da atividade da rede ao longo do tempo. O superconjunto de campos de fluxo é representado pelo esquema appStats.

Alguns campos estão disponíveis apenas para fluxos transmitidos através da integração nativa e não fazem parte de appStats ou Análise de Aplicações. Por exemplo, flow_id e métricas agregadas como pacotes e bytes upstream e downstream, e duração do fluxo. Esses campos são marcados com o seguinte comentário:

Disponível apenas para integração de dados de fluxos nativos criados no CMA.

Nota: O campo de dados brutos contendo informações de incidentes para eventos XOps (detecção de tipo de evento e resposta) pode ser truncado quando enviado ao Splunk se o campo raw_data (que inclui informações da história) exceder 5 MB de tamanho (este é padrão do Splunk, mas pode ser aumentado).

Casos de Uso

Eventos

Uma empresa está utilizando o Splunk para monitoramento centralizado de segurança e resposta. Como clientes Cato, eles têm dados úteis de recursos-chave, como atividade de rede, ameaças, dados de usuários, dispositivos e todos os outros aspectos do tráfego que atravessa a plataforma Cato. Eles podem usar esta integração para enviar esses dados diretamente para o Splunk, onde podem facilmente integrá-los aos fluxos de trabalho existentes para as equipes SOC e NOC.

Fluxos

Um analista de segurança no Splunk identifica um evento suspeito onde um usuário acessou uma aplicação de alto risco que pode estar associada a exfiltração de dados. Usando apenas eventos Cato, o analista pode ver a decisão da política, identidade do usuário e aplicação. Entretanto, o evento não mostra quanto de dados foi transferido ou quanto tempo a sessão durou.

Com dados de fluxo de tráfego agregados correlacionados ao evento usando o campo flow_id, o analista pode visualizar o contexto completo da sessão, incluindo total de bytes transferidos, contagem de pacotes e duração da sessão. Isso permite que o analista determine se a atividade envolveu interação mínima ou uma grande transferência de dados que pode indicar exfiltração.

Ao combinar eventos e dados de fluxo, o analista pode validar rapidamente a gravidade do incidente e tomar a ação apropriada.

Pré-requisitos

Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciando Funções de Admin usando RBAC.
Por favor, reveja os pré-requisitos para todas as integrações de eventos do Cato em Introdução às Integrações de Eventos.

Criar a Integração Splunk

Após criar um token HEC no Splunk, você define uma integração no CMA. Você pode usar os filtros para limitar quais dados de Eventos deseja incluir na integração. Depois que a integração é criada, os dados fluem para o Splunk no Índice que você especificou.

No processo de configuração, você pode configurar se deseja integrar Eventos, Fluxos ou ambos. Por padrão, apenas Eventos está configurado. A fonte de dados Fluxos pode gerar um volume de dados significativamente maior em comparação com eventos. O volume exato depende do seu tráfego. O CMA suporta a configuração de múltiplas integrações, permitindo que você envie diferentes fontes de dados conforme necessário.

O URL e a porta do Splunk são o ponto final HEC para acessar sua conta. Em geral, este é o URL da web que você usa para acessar o Splunk com os caracteres "http-inputs-" adicionados ao início. Por exemplo, se sua conta for http://mydomain.splunk.com, você usaria https://http-inputs-mydomain.splunkcloud.com/. Para mais detalhes, veja a documentação do Splunk. A porta é opcional, e usamos 443 se você não especificar mais nada (que é o padrão para Splunk Cloud).

Excluir a integração no CMA não remove any recursos criados no Splunk.

Nota:

Para integração do Splunk Enterprise (auto-gerenciado):
- O ponto final do Splunk HEC deve ser acessível pela Internet (ou seja, exposto por meio de um IP público ou nome DNS público). IPs privados ou pontos finais de uso interno não são suportados.
- A inspeção TLS deve estar ativada, e o ponto final deve apresentar um certificado X.509 válido emitido por uma Autoridade Certificadora pública de confiança. Certificados auto-assinados ou emitidos por CA privadas não são suportados, pois as conexões são apenas validadas utilizando cadeias de confiança CA padrão.

Para criar a integração do Splunk:

Na sua conta Splunk, crie um novo token para usar nesta integração. Para detalhes, veja a documentação do Splunk. Você pode definir um Índice personalizado ou usar o Índice padrão para o token.
Copie o valor do token que é exibido. Você precisará disso para configurar a integração com o Cato.
No menu de navegação, clique em Recursos > Integrações.
Na aba Aplicativos Integrados, clique em Novo. O painel de Nova Integração é aberto.
Selecione Splunk e configure os seguintes campos:
1. Na dropdown de Autenticação, selecione Chave API.
2. Um Nome do Conector e Descrição (opcional) para esta integração.
3. A URL de Ingestão e Chave API que você criou no Splunk.
4. Especificar o Índice que receberá os dados do Cato. Se esse campo for deixado em branco, usaremos o Índice padrão definido no token HEC.
5. Se deseja integrar Eventos, Fluxos ou ambos.
6. Um filtro para limitar quais eventos Cato são enviados para Splunk.
  
  Nota: Filtros se aplicam apenas a dados de eventos.
7. Especificar se você deseja criar um evento caso ocorram erros na integração.
Clique em Salvar.
No CMA, após atualizar a página Integrações, você pode visualizar o status da integração na aba Aplicativos Integrados.

Escolhendo Entre os Métodos de Integração GitHub Nativos e Personalizados

Além da integração turnkey nativa descrita neste artigo, você também pode integrar eventos Cato com Splunk usando as ferramentas na conta GitHub do CatoGitHub account. Cada abordagem oferece vantagens distintas dependendo de seus objetivos e ambiente. Você também pode usar ambas as integrações, se necessário.

Quando Usar a Integração Nativa

A integração nativa do Cato oferece uma solução escalável e suportável com configuração mínima. Benefícios da integração nativa incluem:

A capacidade de manusear grandes volumes de eventos de forma eficiente sem limitações baseadas em API
Totalmente mantido e suportado pelo Cato

Quando Usar a Integração GitHub

A integração GitHub fornece flexibilidade para casos de uso avançados onde fontes de dados personalizadas ou lógica de processamento são necessárias. Você pode querer usar esta integração nas seguintes situações:

Você deseja enviar dados do Log de Auditoria do Cato para o Splunk
Você deseja usar nosso GitHub como um recurso de código aberto para personalizar a integração