Интеграция событий Cato с Microsoft Sentinel

Обзор

Используйте интеграцию Microsoft Sentinel для включения данных события Cato в существующие рабочие процессы мониторинга, корреляции и расследования. Нативная интеграция отправляет события напрямую из Cato в Sentinel и автоматически сопоставляет их с моделью данных Sentinel, чтобы панели мониторинга, правила аналитики, оповещения и другие функции Sentinel могли обрабатывать данные событий Cato без дополнительного разбора или нормализации.

Интеграция использует стандартный разъем Cato Microsoft Tenant для аутентификации и транспорта в интеграциях Cato Microsoft. Общий разъем предоставляет последовательный рабочий процесс конфигурации и централизованный контроль доступа для интеграций, таких как Entra ID и App и Data API.

Использование

Компания использует Microsoft Sentinel для централизованного мониторинга безопасности и реагирования. Как клиенты Cato, они обладают полезной информацией о ключевых функциях безопасности, таких как IPS. Они могут использовать эту интеграцию для отправки типов событий IPS с высокой степенью серьезности напрямую в Sentinel, где они могут легко интегрироваться в существующие рабочие процессы для команды Центра операционного управления.

Требования

  • Интеграция MS Tenant на вкладке Настроенные интеграции в CMA (Ресурсы > Интеграции)

    Это родительская интеграция для приложений Microsoft

  • Существующее рабочее пространство анализа журналов в Sentinel, где будут храниться события Cato
  • Чтобы добавить коннектор, у вас должно быть разрешение редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление ролями администраторов с использованием RBAC.
  • Просмотрите предварительные условия для всех интеграций событий Cato в Начало работы с интеграциями событий

Создание интеграции арендатора MS

MS Tenant действует как родительский коннектор для большинства приложений Microsoft. При добавлении интеграции с приложением Microsoft первым шагом конфигурации интеграции будет создание родительского коннектора. Вам необходимо настроить этот коннектор один раз, после чего его можно будет использовать для всех приложений Microsoft.

Чтобы создать интеграцию арендатора MS:

  1. На панели навигации выберите Ресурсы > Интеграции и нажмите на вкладку Настроенные Интеграции.
  2. Нажмите Создать. Панель Новый коннектор открывается.

  3. На панели Новый коннектор выберите приложение MS Tenant (Настроить новый MS Tenant).

    New_Microsoft_365_Connector.png
  4. Введите Имя коннектора.

  5. Нажмите Авторизовать и сохранить.

    Открывается новая вкладка браузера с приложением Microsoft 365.

  6. В новой вкладке браузера выполните вход в приложение Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и подтвердите его.
    3. Примите разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.

    4. Экран показывает, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение управления Cato.

  7. Приложение Microsoft 365 SaaS добавлено на вкладку Интегрированные приложения.

Создание интеграции Sentinel

Определите интеграцию Sentinel в CMA, указав целевой Microsoft Tenant, Workspace и таблицу, а также указав, какие события вы хотите включить в интеграцию с помощью фильтров. После того как вы сохраните интеграцию Sentinel, вам нужно будет аутентифицироваться в Microsoft Tenant и разрешить Cato передавать данные в вашу учетную запись Sentinel.

После создания интеграции в CMA у вас есть 10 минут для завершения процесса в Microsoft по соображениям безопасности. Если процесс не завершен в течение этого времени, вам нужно будет удалить интеграцию в CMA и начать заново.

После создания интеграции данные поступают в Microsoft в указанную вами таблицу. Cato добавляет буквы "_CL" к названию таблицы, чтобы помочь вам отличить ее от встроенных таблиц в Microsoft.

Удаление интеграции в CMA не удаляет ресурсы, созданные в Microsoft.

Примечание: Если доступ к стороннему сервису ограничен определёнными IP-адресами, пожалуйста, смотрите эту статью для получения списка IP-адресов Cato, которые нужно разрешить (вам нужно войти в систему, чтобы увидеть эту статью).

Чтобы создать интеграцию Sentinel:

  1. Из меню навигации нажмите Ресурсы > Интеграции.
  2. На вкладке Настроенные интеграции нажмите Новый. Панель Новая интеграция открывается.

  3. Выберите Microsoft Sentinel и настройте следующие поля:

    sentinel_3.png
    1. Введите Имя для этой интеграции.
    2. Выберите имя интеграции арендатора MS в поле Арендатор коннектора
    3. Введите существующее Имя рабочего пространства анализа журналов, которое получает данные из Microsoft Log Analytics.
    4. Введите новое Имя таблицы анализа журналов, чтобы хранить данные в рабочем пространстве анализа журналов с этим именем. 
    5. Укажите сколько дней вы хотите, чтобы Microsoft хранил данные Cato в поле Дни хранения таблицы.
    6. Добавьте фильтр для отправки некоторых событий Cato в Microsoft Sentinel. 
  4. Нажмите Сохранить, чтобы развернуть интеграцию в Microsoft. Теперь у вас есть десять минут, чтобы завершить настройку в Microsoft.

  5. Открывается вкладка браузера и направляет вас к авторизации создания интеграции в Microsoft.

    Примечание: Вы должны авторизовать интеграцию с тем же арендатором, с которым был создан главный коннектор в интеграции MS Tenant выше, и иметь пользователя с разрешениями на создание ресурсов в этом арендаторе.

  6. На портале Microsoft выберите группу ресурсов и регион, содержащий целевую рабочую область Log Analytics и нажмите Просмотреть + Создать

    sentinel_4.png
  7. Нажмите Создать, чтобы начать развертывание.
  8. Когда развертывание будет завершено, вы можете закрыть окно Microsoft.

  9. В CMA после обновления страницы Интеграции вы можете просмотреть статус интеграции на вкладке Интегрированные приложения.

    image-20251019-105133.png

Выбор между методами интеграции Native Turnkey и Custom GitHub

Помимо описанной в данной статье встроенной полной интеграции, вы также можете интегрировать события Cato с Microsoft Sentinel с помощью инструментов из аккаунта Cato на GitHub. Каждый подход предлагает различные преимущества в зависимости от ваших целей и окружения.

Когда использовать интеграцию Native

Встроенная интеграция Cato предлагает масштабируемое и поддерживаемое решение с минимальной конфигурацией. Преимущества встроенной интеграции включают:

  • Возможность эффективно обрабатывать большие объемы событий без ограничений, основанных на API
  • Полностью поддерживается и сопровождается компанией Cato
  • Автоматически сопоставляет схему между Cato и Microsoft Sentinel

Когда использовать интеграцию GitHub

Интеграция GitHub обеспечивает гибкость для сложных случаев использования, когда требуются пользовательские источники данных или логика обработки. Эту интеграцию можно использовать в следующих ситуациях:

  • Интеграция Cato не поддерживает тип данных, который вы хотите получить
  • Вы хотите настроить схему или данные канала событий

Известные ограничения

  • Ограничение больших событий: Некоторые события XOps могут включать обширную информацию о сюжете в поле raw_data, что может вызвать превышение события по размерам обработки в Microsoft Sentinel (примерно 1 МБ). При этом событие все равно пересылается Cato в Sentinel, но поле raw_data опускается для поддержания совместимости с требованиями обработки Sentinel.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев