Nota
Nota: Este é um recurso de Disponibilidade Antecipada (EA) que está disponível apenas para lançamento limitado. Para mais informações sobre como ativar o recurso, entre em contato com seu representante da Cato Networks ou envie um email para ea@catonetworks.com.
O Cato permite que você transmita eventos e fluxos diretamente para o Splunk e normalize os dados para o modelo de informações comuns do Splunk (CIM) com o Cato Technology Add-on (TA), permitindo que você use imediatamente pesquisas padrão do Splunk, painéis e conteúdo de detecção sem criar parse personalizados. O Cato TA é uma aplicação Splunk que mapeia a telemetria da Cato para campos compatíveis com CIM para uso com análises, painéis e detecções do Splunk.
Com dados normalizados em CIM, sua telemetria está imediatamente utilizável em todo o ecossistema Splunk, incluindo Splunk Enterprise Security (ES). Você pode usar painéis, buscas de correlação e conteúdo de detecção de fábrica sem personalização adicional, reduzir o overhead operacional e acelerar fluxos de trabalho de investigação para atividade de rede, segurança e usuário.
A integração do Cato Splunk com o TA suporta as seguintes fontes de dados:
-
Eventos - Eventos gerados pela plataforma Cato, incluindo Firewall de Internet e WAN, Prevenção de Ameaças, autenticação, sistema e mudanças de conectividade
-
Fluxos - Telemetria de fluxo de rede enriquecida com contexto de aplicação e métricas agregadas
Você pode ingerir os dados em um destes formatos:
-
Esquema nativo da Cato
-
Modelo de Informações Comuns do Splunk (CIM) usando o Cato TA
A opção baseada em CIM permite que você use rapidamente análises nativas do Splunk e conteúdo de segurança.
Para mais informações, consulte Mapeamento de Eventos Cato para Campo CIM do Splunk (EA).
Usar dados normalizados em CIM com o Cato Technology Add-on oferece esses benefícios:
-
Use modelos de dados padronizados do Splunk para análise consistente em ambientes
-
Execute buscas de correlação e detecções de fábrica no Splunk ES
-
Ative painéis predefinidos para atividade de rede, segurança e usuário
-
Reduza a necessidade de extração e normalização de campos personalizados
-
Acelere a integração de SOC e fluxos de trabalho de investigação
Quando você usa o Splunk Enterprise Security (ES):
-
Dados mapeados em CIM populam automaticamente modelos de dados ES
-
Pesquisas de correlação predefinidas geram eventos notáveis
-
Painéis de segurança fornecem visibilidade imediata sobre ameaças e atividades
-
Pacotes de conteúdo como ESCU funcionam sem personalização adicional
O Cato Technology Add-on (TA) normaliza a telemetria do Cato em campos compatíveis com CIM. Detalhes do aplicativo:
-
Nome do App: Cato Networks CIM Add-on para Splunk
-
ID do App: TA-catonetworks-cim
-
Autor: Cato Networks
Configure a integração e implante o Technology Add-on para normalizar os dados.
Para configurar a integração com o Cato Technology Add-on:
-
No menu de navegação, selecione Recursos > Integrações.
-
Configure a integração com o Splunk para transmitir dados para seu ambiente Splunk.
-
Selecione as fontes de dados:
-
Eventos
-
Fluxos
-
-
Em seu ambiente Splunk, procure por Cato Networks CIM Add-on para Splunk e instale-o.
-
(Opcional) Ative o Splunk Enterprise Security para análises e detecções avançadas.
Para melhor visibilidade no Splunk, recomendamos que você ative tanto Eventos quanto Fluxos para a integração. Isso fornece uma cobertura de telemetria mais ampla e permite correlacionar eventos de segurança discretos com o contexto do tráfego relacionado. Você pode ativar apenas uma fonte de dados se necessário, e o filtragem de eventos é suportado. No entanto, visibilidade completa e correlação requerem eventos e fluxos.
0 comentário
Por favor, entre para comentar.