Integração de Eventos Cato com CrowdStrike

Este artigo explica como configurar a integração com a CrowdStrike para encaminhar Eventos Cato.

Nota

Nota: Ativar o conector no Aplicativo de Gerenciamento Cato permite usar o conector genérico HEC/HTTP com o CrowdStrike, mas campos específicos do fornecedor (Fornecedor, Produto do Fornecedor) e a análise de esquema do CrowdStrike não são suportados. Os campos específicos do fornecedor e o analisador opcional do CrowdStrike estão atualmente em Beta. Para mais informações e para ativar esses recursos, entre em contato com seu representante da CrowdStrike.

Visão geral

A integração CrowdStrike Next-Gen SIEM permite que Cato encaminhe eventos diretamente para CrowdStrike usando um conector nativo. Você pode transmitir eventos Cato normalizados, completos com ricas informações sobre atividade de rede, ameaças, usuários, dispositivos e todos os outros aspectos do tráfego que passa pela plataforma Cato diretamente para o Falcon Next Gen. Isso permite que analistas investiguem e rastreiem com o contexto total da rede sem sair do Falcon.

Para configurar a integração com a CrowdStrike, você precisa:

Configurar a integração dentro do aplicativo SaaS
Criar o conector API no Aplicativo de Gerenciamento Cato (CMA)

Caso de Uso

Uma empresa está usando o CrowdStrike para monitoramento e resposta centralizada de segurança. Como clientes da Cato, eles possuem dados úteis de recursos chave como atividade de rede, ameaças, dados do usuário, dispositivos e todos os outros aspectos do tráfego que atravessa a plataforma Cato. Eles podem usar essa integração para enviar esses dados diretamente para a CrowdStrike, onde podem facilmente integrá-los aos fluxos de trabalho existentes para as equipes SOC e NOC.

Pré-requisitos

Falcon Next-Gen SIEM ou assinatura Falcon Next-Gen SIEM 10GB.
Para campos específicos do fornecedor e o analisador opcional do CrowdStrike, o recurso Beta precisa ser ativado no CrowdStrike. Para mais informações e para ativar esses recursos, entre em contato com seu representante da CrowdStrike.
Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Admin Usando RBAC.
Por favor, revise os pré-requisitos para todas as integrações de eventos Cato em Iniciando com Integrações de Eventos

Configurando a Integração CrowdStrike

Para configurar a integração com a CrowdStrike, crie uma conexão de Dados.

Etapa 1: Configure a Integração no console Falcon

No console Falcon, crie uma conexão de dados e identifique o XXXXX

Para configurar a integração CrowdStrike:

No seu console Falcon CrowdStrike, navegue até Conectores de dados > Conectores de dados > Conexões de dados.
Clique em Adicionar conexão.
No filtro Produto, aplique um filtro para HEC e no filtro Tipo de Conector, aplique um filtro para Push.
Clique no Conector de Evento HEC/HTTP e clique em Configurar.
Adicione um nome para a conexão e adicione os detalhes a seguir (somente suportado se ativado no CrowdStrike, para mais informações veja os Pré-requisitos):
- Fornecedor: CatoNetworks
- ProdutoDoFornecedor: CatoNetworksSASECloud
- (Opcional) Analisadores: cato-sase
Afirme os Termos e Condições e clique em Criar conexão.
Assim que a conexão é criada, clique nos três pontos e selecione Gerar chave API seguido de Regenerar chave API.
Copie e salve a chave API e a URL API para que possam ser inseridas no CMA.

Etapa 2: Criar o Conector API no CMA

Após configurar uma integração com o aplicativo necessário, adicione os detalhes no CMA.

Para criar o conector API no CMA:

No menu de navegação, clique em Recursos > Integrações.
Clique na aba Integrações Configuradas.
Clique em Novo.

O painel Nova Integração é aberto.
Selecione o CrowdStrike Falcon NG-SIEM.
Adicione os detalhes criados durante a primeira etapa.
Clique em Salvar.
O aplicativo é visível na tabela Aplicativos Integrados com status de Conectado.