Integração dos Dados Cato com o Splunk

Visão Geral

Use a integração Splunk para incluir dados de rede e segurança Cato em seus fluxos de trabalho de monitoramento, correlação e investigação existentes. A integração nativa envia dados diretamente do Cato para o Splunk, permitindo que você analise a atividade do Cato junto com dados de outras fontes em uma plataforma centralizada. Isso ajuda a criar painéis, pesquisas, alertas e relatórios sem exigir mecanismos adicionais de coleta de dados.

A Cato também oferece uma integração GitHub personalizada do repositório GitHub da Cato. Para mais detalhes, veja Escolhendo Entre os Métodos de Integração Nativa Pronta para Uso e GitHub Personalizado, abaixo.

Fontes de Dados Splunk 

A integração do Splunk suporta duas fontes de dados:

  • Eventos - Gerados quando atividades específicas ocorrem na rede ou sistema, como quando uma regra de política é correspondida ou uma ameaça é detectada. Esses registros fornecem insights discretos e em tempo real sobre segurança e aplicação de políticas. Os dados são enviados usando o esquema de eventos do Cato.

  • Fluxos - Originam-se como fluxos de rede (5-tuplas) e são enriquecidos com informações em nível de aplicação à medida que ficam disponíveis nos motores Cato. Além de contexto de aplicação e usuário, os fluxos incluem dados de sessão agregados como bytes, pacotes e duração, fornecendo uma visão completa da atividade da rede ao longo do tempo. O superconjunto de campos de fluxo é representado pelo esquema appStats.

    Alguns campos estão disponíveis apenas para fluxos transmitidos através da integração nativa e não fazem parte de appStats ou Análise de Aplicações. Por exemplo, flow_id e métricas agregadas como pacotes e bytes upstream e downstream, e duração do fluxo. Esses campos são marcados com o seguinte comentário:

    Disponível apenas para integração de dados de fluxos nativos criados no CMA.

Por padrão, novas integrações exportam apenas Eventos. A fonte de dados Fluxos pode gerar um volume significativamente maior de dados em comparação com eventos. O volume exato depende do seu tráfego. O CMA suporta a configuração de múltiplas integrações, permitindo que você envie diferentes fontes de dados conforme necessário. O filtragem é suportado apenas para Eventos.

Casos de Uso

Eventos

A Sample Company usa Splunk para monitoramento centralizado de segurança e resposta. Como cliente da Cato, eles têm dados úteis de recursos-chave, como atividade de rede, ameaças, dados de usuários, dispositivos e todos os outros aspectos do tráfego que atravessa a plataforma Cato. Eles podem usar esta integração para enviar esses dados diretamente para o Splunk, onde podem facilmente integrá-los aos fluxos de trabalho existentes para as equipes SOC e NOC.

Fluxos

Um analista de segurança no Splunk identifica um evento suspeito onde um usuário acessou uma aplicação de alto risco que pode estar associada a exfiltração de dados. Usando apenas eventos Cato, o analista pode ver a decisão da política, identidade do usuário e aplicação. Entretanto, o evento não mostra quanto de dados foi transferido ou quanto tempo a sessão durou.

Com dados de fluxo de tráfego agregados correlacionados ao evento usando o campo flow_id, o analista pode visualizar o contexto completo da sessão, incluindo total de bytes transferidos, contagem de pacotes e duração da sessão. Isso permite que o analista determine se a atividade envolveu interação mínima ou uma grande transferência de dados que pode indicar exfiltração.

Ao combinar eventos e dados de fluxo, o analista pode validar rapidamente a gravidade do incidente e tomar a ação apropriada.

Pré-requisitos

  • Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciando Funções de Admin usando RBAC.
  • A URL e a porta do Splunk são o endpoint HEC para acessar sua conta. Em geral, esta é a URL da web que você usa para acessar o Splunk com os caracteres "http-inputs-" acrescentados ao início. Por exemplo, se sua conta for http://mydomain.splunk.com, você usaria https://http-inputs-mydomain.splunkcloud.com/. Para mais detalhes, consulte a documentação do Splunk. A porta é opcional, e usamos 443 se você não especificar nada (que é o padrão para o Splunk Cloud).
  • Revise os pré-requisitos para todas as integrações de eventos da Cato em Introdução às Integrações de Eventos.

Criando a Integração Splunk

Adicione uma integração Splunk para enviar eventos e fluxos Cato para um endpoint Splunk HTTP Event Collector (HEC). Para configurar a integração, crie um token HEC no Splunk, crie uma nova integração Splunk no CMA e insira a URL de ingestão e a chave da API.

No processo de configuração, você pode configurar se deseja integrar Eventos, Fluxos ou ambos. O padrão é exportar apenas Eventos. A fonte de dados Fluxos pode gerar um volume de dados significativamente maior em comparação com eventos. O volume exato depende do seu tráfego. O CMA suporta a configuração de múltiplas integrações, permitindo que você envie diferentes fontes de dados conforme necessário.

Nota:

  • Para integração do Splunk Enterprise (auto-gerenciado):

    • O endpoint HEC do Splunk deve ser acessível pela Internet (ou seja, exposto via endereço IP público ou nome DNS público). IPs privados ou pontos finais de uso interno não são suportados.
    • A inspeção TLS deve estar ativada, e o ponto final deve apresentar um certificado X.509 válido emitido por uma Autoridade Certificadora pública de confiança. Certificados auto-assinados ou emitidos por CA privadas não são suportados, pois as conexões são apenas validadas utilizando cadeias de confiança CA padrão.
  • Excluir a integração no CMA não remove any recursos criados no Splunk.

Filtros

Use filtros para controlar quais eventos Cato são exportados para o Splunk. Isso ajuda a reduzir custos de ingestão, minimizar ruído e focar investigações nos eventos mais relevantes para sites, usuários ou regiões específicas. Você também pode usar filtros para direcionar diferentes subconjuntos de eventos para diferentes ambientes SIEM.

Use grupos de filtros para definir filtros com base em qualquer Campo de Evento ou combinação de campos. Condições dentro de cada grupo usam lógica AND. Lógica OR é aplicada entre grupos. Os filtros na captura de tela configuram a integração para exportar:

  • Eventos que originam de Paris ou Madrid, são de subtipo Firewall de Internet e resultaram em açoes diferente de Monitorar ou Prompt
  • Nome de Usuário contém Teste

Para criar a integração do Splunk:

  1. Na sua conta Splunk, crie um novo token para usar nesta integração. Para detalhes, veja a documentação do Splunk. Você pode definir um Índice personalizado ou usar o Índice padrão para o token.
  2. Copie o valor do token que é exibido. Você precisa dele para configurar a integração com a Cato.
  3. No menu de navegação, selecione Recursos > Integrações.
  4. Na aba Integrações Configuradas, clique em Novo. O painel de Nova Integração é aberto.

  5. Selecione Splunk e configure os seguintes campos:

    1. Em o dropdown de Autenticação, selecione Chave API.
    2. Insira um Nome do Conector e Descrição opcional para esta integração.
    3. Insira a URL de Ingestão e a Chave API que você criou no Splunk.
    4. Especifique o Índice que recebe os dados do Cato. Se você deixar em branco, a Cato usará o Índice padrão definido no token HEC.
    5. Se deseja integrar Eventos, Fluxos ou ambos.
    6. Opcional: Adicione filtros para controlar quais eventos Cato são enviados para o Splunk.
      Nota: Filtros só aplicam-se a dados de eventos.
    7. Especifique se deseja criar um evento quando ocorrerem erros de integração.
  6. Clique em Salvar.
  7. No CMA, atualize a página Integrações. O status da integração aparece na aba Aplicativos Integrados.

Escolhendo Entre os Métodos de Integração GitHub Nativos e Personalizados

Além da integração turnkey nativa descrita neste artigo, você também pode integrar eventos Cato com Splunk usando as ferramentas na conta GitHub do CatoGitHub account. Cada abordagem oferece vantagens distintas dependendo de seus objetivos e ambiente. Você também pode usar ambas as integrações, se necessário.

Quando Usar a Integração Nativa

A integração nativa do Cato oferece uma solução escalável e suportável com configuração mínima. Benefícios da integração nativa incluem:

  • Lida com grandes volumes de eventos de maneira eficiente, sem limitações baseadas em API
  • É totalmente mantido e suportado pela Cato
  • Suporta filtros para ajustar os dados enviados para o Splunk

Quando Usar a Integração GitHub

A integração GitHub fornece flexibilidade para casos de uso avançados onde fontes de dados personalizadas ou lógica de processamento são necessárias. Você pode querer usar esta integração nas seguintes situações:

  • Você deseja enviar dados do Log de Auditoria do Cato para o Splunk
  • Você deseja usar o repositório GitHub da Cato como um recurso de código aberto para personalizar a integração.

Limitações Conhecidas

  • Limitação de eventos grandes: informações de incidentes podem ser truncadas ao serem enviadas para o Splunk se o campo raw_data (que inclui informações de histórias) exceder 5 MB em tamanho (este é o padrão do Splunk, mas pode ser aumentado).

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário