Интеграция данных Cato со Splunk

Обзор

Используйте интеграцию со Splunk для включения данных о сети и безопасности Cato в существующие рабочие процессы мониторинга, корреляции и расследования. Нативная интеграция отправляет данные непосредственно от Cato в Splunk, позволяя анализировать активность Cato наряду с данными из других источников на централизованной платформе. Это помогает создавать панели мониторинга, поиски, оповещения и отчеты без необходимости использования дополнительных механизмов сбора данных.

Cato также предлагает пользовательскую интеграцию GitHub из репозитория GitHub Cato. Для получения более подробной информации см. ниже раздел «Выбор между нативными готовыми и пользовательскими методами интеграции GitHub».

Источники данных Splunk 

Интеграция со Splunk поддерживает два источника данных:

  • События - Генерируются, когда в сети или системе происходит специфическая активность, например, когда совпадает правило политики или обнаруживается угроза. Эти записи предоставляют детализированные, актуальные аналитики по обеспечению безопасности и применению политик. Данные отправляются, используя схему события Cato.

  • Потоки - Возникают как сетевые потоки (5-тупль) и обогащаются информацией уровня приложений, когда она становится доступной от движков Cato. В дополнение к контексту приложений и пользователей, потоки содержат агрегированные данные сессий, такие как байты, пакеты и длительность, предоставляя полное представление о сетевой активности за время. Супермножество полей потока представлено схемой appStats.

    Некоторые поля доступны только для потоков, протекающих через их родную интеграцию, и не являются частью appStats или аналитики приложения. Например, flow_id и агрегированные метрики, такие как пакеты и байты на входящем и исходящем направлениях, и продолжительность потока. Эти поля отмечены следующим комментарием:

    Доступно только для родной интеграции потоков данных, созданной в CMA.

По умолчанию новые интеграции экспортируют только События. Источник данных Потоки может генерировать значительно больший объём данных по сравнению с событиями. Точный объём зависит от вашего трафика. CMA поддерживает настройку нескольких интеграций, позволяя вам отправлять различные источники данных по мере необходимости. Фильтрация поддерживается только для Событий.

Использование

События

Образцовая компания использует Splunk для централизованного мониторинга безопасности и реагирования. Будучи клиентом Cato, они имеют полезные данные от ключевых функций, таких как сетевой активность, угрозы, данные пользователей, устройства и все остальные аспекты трафика, проходящего через платформу Cato. Они могут использовать эту интеграцию, чтобы отправлять эти данные непосредственно в Splunk, где они могут легко интегрировать их в существующие рабочие процессы для команд SOC и NOC.

Потоки

Аналитик безопасности в Splunk обнаруживает подозрительное событие, когда пользователь получил доступ к приложению с высоким уровнем риска, которое может быть связано с эксфильтрацией данных. Используя только события Cato, аналитик может видеть решение политики, идентификацию пользователя и приложение. Однако событие не показывает, сколько данных было передано или как долго длилась сессия.

С агрегированными данными потока трафика, коррелированными с событием по полю flow_id, аналитик может увидеть полный контекст сессии, включая общее количество переданных байтов, количество пакетов и длительность сессии. Это позволяет аналитику определить, была ли активность с минимальным взаимодействием или крупная передача данных, что может указывать на эксфильтрацию.

Сочетание событий и данных потоков позволяет аналитику быстро оценить серьёзность инцидента и предпринять соответствующие меры.

Предварительные условия

  • Чтобы добавить коннектор, необходимо иметь разрешение редактора для интеграций (в разделе Ресурсы). Для получения дополнительной информации см. Управление ролями администраторов с использованием RBAC.
  • URL Splunk и порт - это конечная точка HEC для доступа к вашей учетной записи. В общем, это веб-URL, который вы используете для доступа к Splunk с добавленными в начале символами "http-inputs-". Например, если ваша учетная запись http://mydomain.splunk.com, вы будете использовать https://http-inputs-mydomain.splunkcloud.com/. Для получения более подробной информации см. документацию Splunk. Порт является необязательным, и мы используем 443, если вы не укажете ничего другого (что является значением по умолчанию для Splunk Cloud).
  • Просмотрите предварительные требования для всех интеграций событий Cato в Начало работы с Интеграциями Событий.

Создание интеграции со Splunk

Добавьте интеграцию Splunk для отправки событий и потоков Cato в конечную точку HTTP Event Collector (HEC) Splunk. Чтобы настроить интеграцию, создайте токен HEC в Splunk, создайте новую интеграцию Splunk в CMA и введите URL-адрес для захвата данных и ключ API.

В процессе настройки вы можете настроить интеграцию Событий, Потоков или обоих. По умолчанию экспортируются только События. Источник данных потоков может генерировать значительно больший объём данных по сравнению с событиями. Точный объём данных зависит от вашего трафика. CMA поддерживает настройку нескольких интеграций, что позволяет отправлять разные источники данных по мере необходимости.

Примечание:

  • Для интеграций Splunk Enterprise (самоуправляемых):

    • Конечная точка HEC Splunk должна быть доступна через Интернет (то есть открыта через публичный IP-адрес или общее имя DNS). Частные IP-адреса или внутренние конечные точки не поддерживаются.
    • Обследование TLS должно быть включено, и конечная точка должна предоставлять действительный сертификат X.509, выданный надежным публичным центром сертификации. Самоподписанные сертификаты или сертификаты, выданные частным CA, не поддерживаются, поскольку соединения проверяются только с использованием стандартных цепей доверия CA.
  • Удаление интеграции в CMA не удаляет никакие ресурсы, созданные в Splunk.

Фильтры

Используйте фильтры для управления тем, какие события Cato экспортируются в Splunk. Это помогает сокращать затраты на приём данных, минимизировать шум и сосредоточивать расследования на событиях, которые наиболее актуальны для конкретных сайтов, пользователей или регионов. Вы также можете использовать фильтры, чтобы направлять различные подмножества событий в различные среды SIEM.

Используйте группы фильтров для определения фильтров на основе любого поля события или комбинации полей. Условия в каждой группе используют логику И. Логика ИЛИ применяется между группами. Фильтры на скриншоте настраивают интеграцию для экспорта:

  • События, которые происходят из Парижа или Мадрида, имеют подтип Интернет-Файервол и приводят к действиям, отличным от Монитор или Запрос
  • Имя пользователя содержит Test

Чтобы создать интеграцию Splunk:

  1. В вашей учетной записи Splunk создайте новый токен для использования в этой интеграции. Для получения подробностей смотрите документацию Splunk. Вы можете определить пользовательский индекс или использовать индекс по умолчанию для токена.
  2. Скопируйте значение токена, которое отображается. Вам нужно это, чтобы настроить интеграцию с Cato.
  3. В меню навигации выберите Ресурсы > Интеграции.
  4. На вкладке Настроенные интеграции нажмите Новый. Панель Новая интеграция открывается.

  5. Выберите Splunk и настройте следующие поля:

    1. В списке выбора Аутентификации, выберите Ключ API.
    2. Введите Имя коннектора и при необходимости Описание этой интеграции.
    3. Введите URL-адрес захвата и Ключ API, которые вы создали в Splunk.
    4. Укажите Индекс, который получает данные от Cato. Если вы оставите это пустым, Cato использует индекс по умолчанию, определённый на токене HEC.
    5. Выбирать интеграцию события, потоки или оба.
    6. Дополнительно: Добавьте фильтры для управления тем, какие события Cato отправляются в Splunk.
      Заметка: Фильтры применяются только к событиям.
    7. Укажите, создавать ли событие, когда происходят ошибки интеграции.
  6. Нажмите Сохранить.
  7. В CMA обновите страницу Интеграции. Статус интеграции отображается на вкладке Интегрированные приложения.

Выбор между методами интеграции Native Turnkey и Custom GitHub

Помимо описанной в этой статье встроенной интеграции Turnkey, вы также можете интегрировать события Cato с Splunk, используя инструменты в GitHub-аккаунте Cato. Каждый подход предлагает различные преимущества в зависимости от ваших целей и окружения. Вы также можете использовать обе интеграции, если это необходимо.

Когда использовать встроенную интеграцию

Встроенная интеграция Cato предлагает масштабируемое и поддерживаемое решение с минимальной конфигурацией. Преимущества встроенной интеграции включают:

  • Эффективно обрабатывает большие объемы событий без ограничений, основанных на API
  • Полностью поддерживается и обслуживается компанией Cato
  • Поддерживает фильтры для тонкой настройки данных, отправляемых в Splunk

Когда использовать интеграцию GitHub

Интеграция GitHub предоставляет гибкость для расширенных случаев использования, где необходимы пользовательские источники данных или логика обработки. Вы можете захотеть использовать эту интеграцию в следующих ситуациях:

  • Вы хотите отправить данные из журнала аудита Cato в Splunk
  • Вы хотите использовать GitHub-репозиторий Cato как ресурс открытого исходного кода для настройки интеграции

Известные ограничения

  • Ограничение на большие события: Информация об инциденте может быть усечена при отправке в Splunk, если поле raw_data (включающее информацию из истории) превышает 5 МБ (это значение по умолчанию для Splunk, но его можно увеличить).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев