Интеграция событий Cato с CrowdStrike

Эта статья объясняет, как настроить интеграцию CrowdStrike для пересылки событий Cato.

Примечание

Примечание: Включение соединителя в приложении управления Cato позволяет использовать общий соединитель HEC/HTTP с CrowdStrike, но поля, специфичные для поставщика (Производитель, Продукт поставщика), и анализ схемы CrowdStrike не поддерживаются. Поля, специфичные для поставщика, и необязательный парсер CrowdStrike в настоящее время находятся в стадии бета-тестирования. Для получения дополнительной информации и для включения этих функций, свяжитесь с вашим представителем CrowdStrike.

Обзор

Интеграция следующего поколения SIEM CrowdStrike позволяет Cato напрямую пересылать события в CrowdStrike с использованием собственного соединителя. Вы можете транслировать нормализованные события Cato с обширным контекстом сетевой активности, угроз, пользователей, устройств и всех других аспектов трафика, проходящего через платформу Cato, прямо в Falcon Next Gen. Это позволяет аналитикам исследовать и охотиться с полным сетевым контекстом, не покидая Falcon.

Чтобы настроить интеграцию CrowdStrike, вам необходимо:

Настроить интеграцию в SaaS-приложении
Создать API-соединитель в приложении управления Cato (CMA)

Сценарий использования

Компания использует CrowdStrike для централизованного мониторинга безопасности и реагирования. Как клиенты Cato, они имеют полезные данные из основных функций, таких как сетевая активность, угрозы, данные пользователей, устройства и все другие аспекты трафика, проходящего через платформу Cato. Они могут использовать эту интеграцию для отправки данных прямо в CrowdStrike, где они могут легко интегрировать их в существующие рабочие процессы для команд SOC и NOC.

Требования

Falcon Next-Gen SIEM или подписка Falcon Next-Gen SIEM 10GB.
Для полей, специфичных для поставщика и необязательного парсера CrowdStrike, функция Beta должна быть включена в CrowdStrike. Для получения дополнительной информации и для включения этих функций, свяжитесь с вашим представителем CrowdStrike.
Чтобы добавить соединитель, вы должны иметь разрешение редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Правила управления администраторами с использованием RBAC.
Пожалуйста, ознакомьтесь с требованиями для всех интеграций событий Cato в Начало работы с интеграциями событий

Настройка интеграции CrowdStrike

Чтобы настроить интеграцию CrowdStrike, создайте соединение данных.

Шаг 1: Настройка интеграции в консоли Falcon

В консоли Falcon создайте соединение данных и идентифицируйте XXXXX

Чтобы настроить интеграцию CrowdStrike:

В консоли Falcon CrowdStrike перейдите к Соединители данных > Соединители данных > Соединения данных.
Нажмите Добавить соединение.
В фильтре Продукт примените фильтр для HEC и в фильтре Тип соединителя примените фильтр для Push.
Нажмите на HEC/HTTP Event Connector и нажмите Настроить.
Добавьте имя для соединения и добавьте следующие детали (поддерживается только при включении в CrowdStrike, для получения дополнительной информации см. Требования):
- Поставщик: CatoNetworks
- ПродуктПоставщика: CatoNetworksSASECloud
- (Необязательно) Парсеры: cato-sase
Подтвердите Условия и положения и нажмите Создать соединение.
После создания соединения нажмите на три точки и выберите Создать API-ключ затем Пересоздать API-ключ.
Скопируйте и сохраните API-ключ и API URL, чтобы они могли быть введены в CMA.

Шаг 2: Создание API-соединителя в CMA

После настройки интеграции с требуемым приложением добавьте детали в CMA.

Чтобы создать API-соединитель в CMA:

Из меню навигации нажмите Ресурсы > Интеграции.
Нажмите вкладку Настроенные интеграции.
Нажмите Новый.

Отскрывается панель Новая интеграция.
Выберите CrowdStrike Falcon NG-SIEM.
Добавьте детали, созданные на первом этапе.
Нажмите Сохранить.
Приложение видно на таблице Интегрированные приложения с статусом Подключено.