Интеграция данных Cato со Splunk

Обзор

Интеграция со Splunk позволяет Cato напрямую передавать данные в Splunk с помощью встроенного подключения и поддерживает два источника данных:

События - Создаются при возникновении специфической активности в сети или системе, например, когда срабатывает правило политики или обнаружена угроза. Эти записи предоставляют детализированные, актуальные аналитики по обеспечению безопасности и применению политик. Данные отправляются, используя схему события Cato.
Потоки — Исходят как потоки сети (5-туплет) и обогащаются данными уровня приложений по мере поступления через различные движки Cato. В дополнение к контексту приложений и пользователей, потоки содержат агрегированные данные сессий, такие как байты, пакеты и длительность, предоставляя полное представление о сетевой активности за время. Супермножество полей потока представлено схемой appStats.

Некоторые поля доступны только для потоков, протекающих через их родную интеграцию, и не являются частью appStats или аналитики приложения. Например, flow_id и агрегированные метрики, такие как пакеты и байты на входящем и исходящем направлениях, и продолжительность потока. Эти поля отмечены следующим комментарием:

Доступно только для родной интеграции потоков данных, созданной в CMA.

Примечание: поле, содержащее информацию об инцидентах для событий XOps (обнаружение и реакция по типу события) может быть сокращено при отправке в Splunk, если объем поля raw_data (включающий данные истории) превышает 5 МБ (значение по умолчанию для Splunk, которое может быть увеличено).

Использование

События

Компания использует Splunk для централизованного мониторинга безопасности и реакции. Как клиенты Cato, они имеют полезные данные о ключевых функциях, таких как сетевые активности, угрозы, данные пользователей, устройства и все другие аспекты трафика, проходящего через платформу Cato. Они могут использовать эту интеграцию, чтобы отправлять эти данные непосредственно в Splunk, где они могут легко интегрировать их в существующие рабочие процессы для команд SOC и NOC.

Потоки

Аналитик безопасности в Splunk обнаруживает подозрительное событие, когда пользователь получил доступ к приложению с высоким уровнем риска, которое может быть связано с эксфильтрацией данных. Используя только события Cato, аналитик может видеть решение политики, идентификацию пользователя и приложение. Однако событие не показывает, сколько данных было передано или как долго длилась сессия.

С агрегированными данными потока трафика, коррелированными с событием по полю flow_id, аналитик может увидеть полный контекст сессии, включая общее количество переданных байтов, количество пакетов и длительность сессии. Это позволяет аналитику определить, была ли активность с минимальным взаимодействием или крупная передача данных, что может указывать на эксфильтрацию.

Сочетание событий и данных потоков позволяет аналитику быстро оценить серьёзность инцидента и предпринять соответствующие меры.

Предварительные условия

Чтобы добавить коннектор, необходимо иметь разрешение редактора для интеграций (в разделе Ресурсы). Для получения дополнительной информации см. Управление ролями администраторов с использованием RBAC.
Пожалуйста, ознакомьтесь с предварительными условиями для всех интеграций событий Cato в Начало работы с интеграцией событий

Создание интеграции Splunk

После создания HEC токена в Splunk, вы определяете интеграцию в CMA. Вы можете использовать фильтры, чтобы ограничить данные события, которые вы хотите включить в интеграцию. После создания интеграции, данные поступают в Splunk в указанный вами индекс.

Процесс настройки позволяет вам выбрать, интегрировать ли события, потоки или оба. По умолчанию настроены только события. Источник данных потоков может генерировать значительно больший объём данных по сравнению с событиями. Точный объём зависит от вашего трафика. CMA поддерживает настройку нескольких интеграций, позволяя вам отправлять различные источники данных по мере необходимости.

URL и порт Splunk являются конечной точкой HEC для доступа к вашей учетной записи. По сути, это веб-URL, который вы используете для доступа к Splunk с добавленными символами "http-inputs-" в начале. Например, если ваша учетная запись http://mydomain.splunk.com, вы будете использовать https://http-inputs-mydomain.splunkcloud.com/. Для получения дополнительных сведений смотрите документацию Splunk. Порт является необязательным, и мы используем 443, если вы не указываете ничего другого (это значение по умолчанию для Splunk Cloud).

Удаление интеграции в CMA не удаляет никакие ресурсы, созданные в Splunk.

Примечание:

Для интеграций Splunk Enterprise (самоуправляемых):
- Конечная точка Splunk HEC должна быть доступна через Интернет (например, через публичный IP или публичное DNS имя). Частные IP-адреса или внутренние конечные точки не поддерживаются.
- Обследование TLS должно быть включено, и конечная точка должна предоставлять действительный сертификат X.509, выданный надежным публичным центром сертификации. Самоподписанные сертификаты или сертификаты, выданные частным CA, не поддерживаются, поскольку соединения проверяются только с использованием стандартных цепей доверия CA.

Чтобы создать интеграцию Splunk:

В вашей учетной записи Splunk создайте новый токен для использования в этой интеграции. Для получения подробностей смотрите документацию Splunk. Вы можете определить пользовательский индекс или использовать индекс по умолчанию для токена.
Скопируйте значение токена, которое отображается. Вам потребуется это для настройки интеграции с Cato.
Из навигационного меню нажмите Ресурсы > Интеграции.
На вкладке Интегрированные приложения нажмите Новый. Панель Новая интеграция открывается.
Выберите Splunk и настройте следующие поля:
1. В выпадающем списке Auth выберите ключ API.
2. Имя коннектора и описание (необязательно) для этой интеграции.
3. URL ингестации и ключ API, которые вы создали в Splunk.
4. Укажите индекс, который получит данные от Cato. Если вы оставите это поле пустым, мы будем использовать индекс по умолчанию, определённый на токене HEC.
5. Выбирать интеграцию события, потоки или оба.
6. Фильтр, чтобы ограничить, какие события Cato отправляются в Splunk.
  
  Примечание: Фильтры применяются только к данным событий.
7. Укажите, если хотите создать событие, если возникнут ошибки с интеграцией.
Нажмите Сохранить.
В CMA, после обновления страницы Интеграции, вы можете посмотреть статус интеграции на вкладке Интеграция приложений.

Выбор между методами интеграции Native Turnkey и Custom GitHub

Помимо описанной в этой статье встроенной интеграции Turnkey, вы также можете интегрировать события Cato с Splunk, используя инструменты в GitHub-аккаунте Cato. Каждый подход предлагает различные преимущества в зависимости от ваших целей и окружения. Вы также можете использовать обе интеграции, если это необходимо.

Когда использовать встроенную интеграцию

Встроенная интеграция Cato предлагает масштабируемое и поддерживаемое решение с минимальной конфигурацией. Преимущества встроенной интеграции включают:

Возможность эффективно обрабатывать большие объемы событий без ограничений на основе API
Полностью поддерживается и обслуживается Cato

Когда использовать интеграцию GitHub

Интеграция GitHub предоставляет гибкость для расширенных случаев использования, где необходимы пользовательские источники данных или логика обработки. Вы можете захотеть использовать эту интеграцию в следующих ситуациях:

Вы хотите отправить данные из журнала аудита Cato в Splunk
Вы хотите использовать наш GitHub как общедоступный ресурс для настройки интеграции