Интеграция событий Cato с учетной записью хранения Azure

Эта статья объясняет, как интегрировать учетную запись хранения Azure с вашим аккаунтом Cato для загрузки событий непосредственно в учетную запись хранения.

Обзор интеграции событий

Для клиентов, которые просматривают и анализируют данные событий в учетной записи хранения Azure, вы можете настроить свой аккаунт Cato для автоматической и непрерывной загрузки событий. Это отличается от API eventsFeed, который требует, чтобы клиенты забирали данные из Cato и сталкивается с проблемами, такими как ограничение скорости.

Облако Cato загружает данные в учетную запись хранения следующим образом: каждые 60 секунд, или когда объем данных превышает 10 МБ. Cato использует HTTPS для загрузки данных в учетную запись хранения Azure.

Примечание

Примечание: Вы можете определить до трех интеграций событий для вашего аккаунта.

Использование интеграции событий

Пример компании использует функцию мониторинга подозрительной активности IPS, которая генерирует множество событий безопасности. Они решают создать учетную запись хранения Azure для хранения всех данных событий, которые затем могут быть интегрированы с их SIEM-решением. Пример компании включает интеграцию событий и добавляет учетную запись хранения Azure как интеграцию в свой аккаунт Cato, чтобы все события IPS автоматически загружались в хранение Azure.

Обзор интеграции событий Azure на высоком уровне

  1. Создайте новую учетную запись хранения Azure и контейнер.

  2. Azure предоставляет строку соединения следующим образом:

    1. Ключи доступа - строка соединения генерируется автоматически.

    2. SAS - настройте рекомендованные разрешения и настройки, затем генерируется строка соединения.

  3. Создайте интеграцию Azure в Приложение управления Cato, используя строку соединения из предыдущего шага.

Настройка учетной записи хранения Azure

Создайте новую учетную запись хранения и контейнер для данных событий Cato, мы рекомендуем не использовать существующую учетную запись хранения для интеграции событий. Вы можете использовать строку соединения Azure от ключа доступа или от общей подписи доступа (SAS).

Использование ключей доступа для строки соединения

Для клиентов, которые используют ключи доступа Azure для аутентификации учетной записи хранения к Cato, скопируйте строку соединения. Вы вставите строку соединения ключей доступа в Приложение управления Cato при настройке интеграции Azure.

Чтобы создать учетную запись хранения, которая использует ключи доступа:

  1. Создайте новую учетную запись хранения с подходящими настройками.

    1. В сведениях Инстанса выберите производительность Стандартный.

      basic_storage_account.png

    2. Нажмите Обзор, затем нажмите Создать.

  2. Создайте новый контейнер для данных событий (Хранилище данных > Контейнеры).

    Вы введете Имя контейнера в Приложение управления Cato, когда будете создавать интеграцию для событий (ниже).

  3. В левой панели навигации перейдите в раздел Безопасность + сетевое оборудование и выберите Ключи доступа.

  4. Скопируйте строку соединения ключей доступа для учетной записи хранения.

    access_key_string.png

  5. Продолжайте с добавления учетной записи хранения Azure для событий (ниже).

Использование SAS для строки соединения

Azure SAS позволяет вам ограничивать разрешения для контейнера хранения, такие как разрешенные IP-адреса, и задавать дату окончания срока действия строки соединения.

Токен для строки соединения SAS включает дату окончания, которая отображается на странице интеграции событий. После даты окончания токен становится недействительным, и Cato не может загружать события в контейнер хранения. Чтобы поддерживать непрерывную загрузку событий, убедитесь, что вы генерируете новую строку соединения и применяете её к интеграции до даты окончания срока действия SAS.

Примечание

Примечание: Если доступ к стороннему сервису ограничен определенными IP-адресами, пожалуйста, обратитесь к статье для списка IP-адресов Cato, которые вам нужно разрешить (чтобы просмотреть эту статью, необходимо войти в систему).

Чтобы настроить учетную запись хранения в Azure для получения данных событий Cato:

  1. Создайте новую учетную запись хранения с соответствующими настройками.

    1. В сведениях об экземпляре выберите производительность Стандартный.

      basic_storage_account.png

    2. Нажмите Обзор, затем нажмите Создать.

  2. Создайте новый контейнер для данных событий (Хранилище данных > Контейнеры).

    Вы введете Имя контейнера в Приложение Управления Cato, когда создадите интеграцию для событий (см. ниже).

  3. В панели навигации слева перейдите в раздел Безопасность и сетевое оборудование и выберите Сигнатура общего доступа.

  4. Настройте SAS со следующими разрешениями доступа:

    • Разрешенные сервисы - Blob, Файл

    • Разрешенные типы ресурсов - Контейнер, Объект

    • Разрешенные разрешения - Чтение, Запись, Список

    SAS_settings.png

  5. Нажмите Сгенерировать SAS и строку соединения.

  6. Скопируйте Строку соединения для учетной записи хранения. Вы вставите эту строку, когда создадите интеграцию для событий (см. ниже).

    sas_string.png

Добавление хранения учетной записи Azure для событий

Создайте новую интеграцию для учетной записи хранения Azure на вкладке Интеграция событий и вставьте строку соединения в интеграцию. Эта строка дает Cato разрешение загрузить данные событий в учетную запись хранения. Вы не можете редактировать строку после создания интеграции, вместо этого вы можете Сбросить поле и затем вставить строку соединения.

После того как вы определите и включите интеграцию хранения Azure, потребуется несколько минут, чтобы Cato начал загружать события в учетную запись хранения.

Вы можете выбрать фильтрацию событий, которые загружаются в учетную запись хранения. Например, загружайте туда только события IPS для вашего аккаунта. Настройка по умолчанию - без фильтра и все события загружаются в учетную запись хранения.

EventIntegration.png

Чтобы добавить интеграцию хранения Azure для загрузки событий для вашего аккаунта:

  1. Из меню навигации выберите Ресурсы > Интеграция событий.

  2. Выберите Включить интеграцию с событиями Cato.

  3. Нажмите Новый. Открывается панель Новая интеграция.

  4. В разделе Интеграция выберите Учетная запись хранения Azure и введите Имя для интеграции.

  5. Введите эти Детали соединения для интеграции на основе настроек в Azure:

    • Строка соединения - Вставьте строку соединения, которую вы скопировали из учетной записи хранения

    • Имя - Идентичное имя контейнера в учетной записи хранения

    • (Необязательно) Папка - Идентичное имя для пути к папке внутри контейнера (если необходимо)

  6. (Необязательно) Определите настройки фильтра для событий, которые загружаются в учетную запись хранения.

    Когда вы определяете несколько фильтров, существует взаимосвязь И, и загружаются события, соответствующие всем фильтрам.

  7. Нажмите Применить. Учетная запись хранения Azure теперь интегрирована с вашим аккаунтом.

    Примечание: Вы можете определить до трех интеграций событий для вашего аккаунта.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 4

0 комментариев