Организации, которые сохраняют и управляют данными о событиях в учетной записи хранения Azure, могут настроить свою учетную запись Cato для автоматической и непрерывной загрузки событий в нее.
Эта интеграция постоянно передает события напрямую из Cato Cloud в учетную запись хранения, в отличие от API eventsFeed, который требует извлечения данных из Cato и может быть подвержен ограничениям скорости.
Cato Cloud загружает данные в учетную запись хранения каждые 60 секунд или когда накопилось более 10 МБ данных. Данные передаются безопасным образом через HTTPS.
События загружаются в сжатом формате .GZ. Некоторые клиенты (например, определенные браузеры) могут автоматически распаковать эти файлы без удаления расширения .GZ. Если это произойдет, изменение расширения файла на LOG или TXT позволит правильно сопоставить формат файла с его расширением.
Пример компании использует функцию мониторинга подозрительной активности IPS, которая генерирует множество событий безопасности. Они решают создать учетную запись хранения Azure для хранения всех данных о событиях, которые затем могут интегрировать с решением SIEM. Образец компании включает Интеграцию событий и добавляет учетную запись хранения Azure в качестве интеграции в свою учетную запись Cato, чтобы все события IPS автоматически загружались в Azure Storage.
- Пожалуйста, ознакомьтесь с предварительными условиями для всех интеграций событий Cato в статье Начало работы с Интеграцией событий
Создайте новую учетную запись хранения и контейнер для данных событий Cato, мы рекомендуем не использовать существующую учетную запись хранения для интеграции событий. Вы можете использовать строку соединения Azure от ключа доступа или от общей подписи доступа (SAS).
Для клиентов, которые используют ключи доступа Azure для аутентификации учетной записи хранения к Cato, скопируйте строку соединения. Вы вставите строку соединения ключей доступа в Приложение управления Cato при настройке интеграции Azure.
Чтобы создать учетную запись хранения, которая использует ключи доступа:
- Создайте новую учетную запись хранения с подходящими настройками.
-
В сведениях Инстанса выберите производительность Стандартный.
- Нажмите Обзор, затем нажмите Создать.
-
-
Создайте новый контейнер для данных событий (Хранилище данных > Контейнеры).
Вы введете Имя контейнера в Приложение управления Cato, когда будете создавать интеграцию для событий (ниже).
- В левой панели навигации перейдите в раздел Безопасность + сетевое оборудование и выберите Ключи доступа.
-
Скопируйте строку соединения ключей доступа для учетной записи хранения.
- Продолжить с Добавлением хранилища учётной записи Azure для событий (ниже).
Azure SAS позволяет вам ограничивать разрешения для контейнера хранения, такие как разрешенные IP-адреса, и задавать дату окончания срока действия строки соединения.
Токен для строки соединения SAS включает дату окончания, которая отображается на странице интеграции событий. После даты окончания токен становится недействительным, и Cato не может загружать события в контейнер хранения. Чтобы поддерживать непрерывную загрузку событий, убедитесь, что вы генерируете новую строку соединения и применяете её к интеграции до даты окончания срока действия SAS.
Чтобы настроить учетную запись хранения в Azure для получения данных событий Cato:
- Создайте новую учетную запись хранения с соответствующими настройками.
-
В сведениях об экземпляре выберите производительность Стандартный.
- Нажмите Обзор, затем нажмите Создать.
-
-
Создайте новый контейнер для данных событий (Хранилище данных > Контейнеры).
Вы введете Имя контейнера в Приложение Управления Cato, когда создадите интеграцию для событий (см. ниже).
- В панели навигации слева перейдите в раздел Безопасность и сетевое оборудование и выберите Сигнатура общего доступа.
-
Настройте SAS со следующими разрешениями доступа:
- Разрешенные сервисы - Blob, Файл
- Разрешенные типы ресурсов - Контейнер, Объект
- Разрешенные разрешения - Чтение, Запись, Список
- Нажмите Сгенерировать SAS и строку соединения.
-
Скопируйте Строку соединения для учетной записи хранения. Вы вставите эту строку, когда создадите интеграцию для событий (см. ниже).
Создайте новую интеграцию для учетной записи хранения Azure на вкладке Интеграция событий и вставьте строку подключения в интеграцию. Эта строка дает Cato разрешение на загрузку данных о событиях в учетную запись хранения. Вы не сможете изменить строку после создания интеграции; вместо этого вы можете Сбросить поле и затем вставить строку подключения.
После того, как вы определите и включите интеграцию хранения Azure, потребуется несколько минут, прежде чем Cato начнет загрузку событий в учетную запись хранения.
Вы можете фильтровать события, загружаемые в учетную запись хранения, по типу или подтипу события. Например, вы можете загружать только события IPS для вашей учетной записи. По умолчанию фильтр не применяется, и все события загружаются в учетную запись хранения.
Чтобы добавить интеграцию с Azure Storage для загрузки событий для вашей учетной записи:
- Из меню навигации выберите Ресурсы > Интеграция событий.
- Выберите Включить интеграцию с событиями Cato.
- Нажмите Новый. Открывается панель Новая интеграция.
- В Интеграции выберите Учетная запись хранения Azure и введите Имя для интеграции.
-
Введите эти Детали соединения для интеграции на основе настроек в Azure:
- Строка соединения - Вставьте строку соединения, которую вы скопировали из учетной записи хранения
- Имя - Идентичное имя контейнера в учетной записи хранения
- (Необязательно) Папка - Идентичное имя для пути к папке внутри контейнера (если необходимо)
-
(Необязательно) Определите настройки фильтра для событий, которые загружаются в учетную запись хранения.
Когда вы определяете несколько фильтров, существует взаимосвязь И, и загружаются события, соответствующие всем фильтрам.
-
Нажмите Применить. Учетная запись хранения Azure теперь интегрирована с вашей учетной записью.
Примечание: Вы можете определить до трех интеграций событий для вашего аккаунта.
0 комментариев
Войдите в службу, чтобы оставить комментарий.