Интеграция событий Cato с Microsoft Sentinel

Используйте интеграцию с Microsoft Sentinel, чтобы включить данные событий Cato в ваши существующие рабочие процессы мониторинга, корреляции и расследования. 

Cato предлагает два типа интеграции с Microsoft Sentinel. Каждый подход предлагает уникальные преимущества в зависимости от ваших целей и среды.

• Нативная готовая интеграция направляет события непосредственно из Cato в Sentinel и автоматически сопоставляет их с моделью данных Sentinel, чтобы панели мониторинга, аналитические правила, оповещения и другие функции Sentinel могли обрабатывать данные событий Cato без дополнительного анализа или нормализации.
  Эта интеграция использует стандартный коннектор Cato MS Tenant для аутентификации и передачи данных в интеграциях Cato Microsoft. Общий разъем предоставляет последовательный рабочий процесс конфигурации и централизованный контроль доступа для интеграций, таких как Entra ID и App и Data API.
• Пользовательская интеграция GitHub доступна из репозитория GitHub Cato. Для получения дополнительной информации смотрите Выбор между нативной и пользовательской методиками интеграции с GitHub ниже.

Компания Sample использует Microsoft Sentinel для централизованного мониторинга безопасности и реагирования. Как клиент Cato, они имеют доступ к важным данным из таких функций безопасности, как IPS. Они могут использовать эту интеграцию для отправки типов событий IPS с высокой степенью серьезности напрямую в Sentinel, где они могут легко интегрироваться в существующие рабочие процессы для команды Центра операционного управления.

MS Tenant действует как родительский коннектор для большинства приложений Microsoft. При добавлении интеграции Microsoft сначала создайте родительский коннектор. Вы должны настроить этот коннектор только один раз, после чего сможете использовать его для всех приложений Microsoft.

Определите интеграцию Sentinel в CMA, указав целевой клиент Microsoft, рабочее пространство и таблицу. Вы также можете использовать фильтры для определения, какие события включать в интеграцию. После сохранения интеграции Sentinel, вам необходимо аутентифицироваться в клиенте Microsoft и разрешить Cato отправлять данные в вашу учетную запись Sentinel.

После создания интеграции в CMA у вас есть 10 минут для завершения процесса в Microsoft по соображениям безопасности. Если процесс не завершен в течение этого времени, вам нужно будет удалить интеграцию в CMA и начать заново.

После создания интеграции данные поступают в Microsoft в указанную вами таблицу. Cato добавляет буквы "_CL" к названию таблицы, чтобы помочь вам отличить ее от встроенных таблиц в Microsoft.

Удаление интеграции в CMA не удаляет ресурсы, созданные в Microsoft.

Примечание: Если доступ к стороннему сервису ограничен конкретными IP-адресами, ознакомьтесь с этим статьёй, где приведён список IP-адресов Cato, которые нужно разрешить. Вы должны быть авторизованы для просмотра статьи.

Фильтры

Используйте фильтры для управления, какие события Cato экспортируются в Microsoft Sentinel. Это помогает сократить затраты на обработку данных, минимизировать шум и сосредоточиться на событиях, которые имеют наибольшее значение для конкретных сайтов, пользователей или регионов. Вы также можете использовать фильтры для маршрутизации различных подмножеств событий в разные среды SIEM.

Используйте группы фильтров для определения фильтров на основе любых полей событий или их комбинирования. В каждой группе условия используют логику AND. Логика OR применяется между группами. Фильтры на скриншоте настроены на экспорт:

• События, которые происходят из Парижа или Мадрида, имеют подтип Интернет-файервол и завершились действиями, отличными от Монитор или Запрос
• Имя пользователя содержит Test

Чтобы создать интеграцию Sentinel:

1. В меню навигации выберите Ресурсы > Интеграции.
2. На вкладке Настроенные интеграции нажмите Новый. Панель Новая интеграция открывается.

3. Выберите Microsoft Sentinel и настройте следующие поля:

   1. Введите Имя для этой интеграции.
   2. Выберите имя интеграции арендатора MS в поле Арендатор коннектора. 
   3. Введите существующее Имя рабочего пространства анализа журналов, которое получает данные из Microsoft Log Analytics.
   4. Введите новое Имя таблицы анализа журналов, чтобы хранить данные в рабочем пространстве анализа журналов с этим именем. 
   5. Укажите сколько дней вы хотите, чтобы Microsoft хранил данные Cato в поле Дни хранения таблицы.
   6. Необязательно: Добавьте фильтры для управления, какие события Cato отправляются в Microsoft Sentinel.
4. Нажмите Сохранить, чтобы развернуть интеграцию в Microsoft. 
   Примечание: У вас есть 10 минут для завершения настройки в Microsoft.
5. Открывается вкладка браузера и направляет вас для авторизации создания интеграции в Microsoft.
   Примечание: Вы должны авторизовать интеграцию с тем же клиентом, который использовался для создания интеграции MS Tenant. Пользователь должен иметь права для создания ресурсов в этом клиенте.
6. В портале Microsoft выберите группу ресурсов и регион, которые содержат целевое рабочее пространство Log Analytics, и нажмите Обзор + Создать.
7. Нажмите Создать, чтобы начать развертывание.
8. Когда развертывание будет завершено, вы можете закрыть окно Microsoft.
9. В CMA обновите страницу Интеграции. Статус интеграции отображается на вкладке Интегрированные приложения.

Помимо описанной в данной статье встроенной полной интеграции, вы также можете интегрировать события Cato с Microsoft Sentinel с помощью инструментов из аккаунта Cato на GitHub. Каждый подход предлагает различные преимущества в зависимости от ваших целей и окружения.