Настройка дополнения Cato Technology для интеграции со Splunk (EA)

Примечание

Примечание: Это функция раннего доступа (EA), доступная только для ограниченного выпуска. Для получения дополнительной информации о включении функции, свяжитесь с вашим представителем Cato Networks или отправьте электронное письмо на ea@catonetworks.com.

Обзор

Cato позволяет передавать события и потоки непосредственно в Splunk и нормализовать данные до Общей информационной модели Splunk (CIM) с помощью дополнения Cato Technology (TA), чтобы вы могли сразу использовать стандартные поисковые запросы, панели мониторинга и контент обнаружения Splunk без создания пользовательского парсинга. Дополнение Cato TA представляет собой приложение для Splunk, которое отображает телеметрию Cato в поля, совместимые с CIM, для использования с аналитикой, панелями мониторинга и обнаружениями Splunk.

С нормализованными данными CIM ваша телеметрия сразу доступна в экосистеме Splunk, включая Splunk Enterprise Security (ES). Вы можете использовать готовые панели мониторинга, поисковые запросы для корреляции и контент для обнаружения без дополнительной настройки, снизить операционные расходы и ускорить рабочие процессы расследования для сетевой, безопасности и пользовательской активности.

Предварительные условия

Требуется:

  • Дополнение Splunk Common Information Model (CIM)

Необязательно:

  • Splunk Enterprise Security (ES)

Понимание интеграции Cato и Splunk

Интеграция Cato и Splunk с TA поддерживает следующие источники данных:

  • События - события, генерируемые платформой Cato, включая интернет и WAN Firewall, предотвращение угроз, аутентификацию, системные изменения и изменения соединения

  • Потоки - обогащенная телеметрия потока сети с контекстом приложения и агрегированными метриками

Вы можете получать данные в одном из этих форматов:

  • Родной Cato схема

  • Splunk Common Information Model (CIM) с использованием дополнения Cato TA

CIM-основанный вариант позволяет быстро использовать встроенную аналитику и контент безопасности Splunk.

Для получения дополнительной информации см. Cato Event to Splunk CIM Field Mapping (EA).

Преимущества использования CIM и Splunk Enterprise Security

Использование нормализованных данных CIM с дополнением Cato технология предоставляет следующие преимущества:

  • Используйте стандартизированные модели данных Splunk для согласованного анализа в разных средах

  • Запустите готовые поисковые запросы для корреляции и обнаружений в Splunk ES

  • Включите готовые панели мониторинга для сети, безопасности и активности пользователя

  • Сократите необходимость в пользовательской извлечении полей и нормализации

  • Ускорьте процессы по внедрению SOC и расследованию инцидентов

Когда вы используете Splunk Enterprise Security (ES):

  • Данные, сопоставленные с CIM, автоматически заполняют модели данных ES

  • Предустановленные поисковые запросы для корреляции генерируют значимые события

  • Панели мониторинга безопасности обеспечивают немедленную видимость угроз и активности

  • Контент-паки, такие как ESCU, работают без дополнительной настройки

О дополнении Cato TA

Дополнение Cato Technology (TA) нормализует телеметрию Cato в поля, совместимые с CIM. Подробности приложения:

  • Имя приложения: Дополнение Cato Networks CIM для Splunk

  • ID приложения: TA-catonetworks-cim

  • Автор: Cato Networks

Поддерживаемые модели данных CIM

Дополнение Cato Technology отображает телеметрию к следующим моделям данных CIM Splunk:

  • Сетевой Трафик

  • Обнаружение Вторжений

  • Разрешение сети (DNS)

  • Веб

  • Аутентификация

  • Вредоносные программы

  • Изменения (Управление аккаунтами)

Внедрение дополнения Cato TA

Настройте интеграцию и разверните дополнение для нормализации данных.

Для настройки интеграции с дополнением Cato Technology:

  1. Из меню навигации выберите Ресурсы > Интеграции.

  2. Настройте интеграцию Splunk для потоковой передачи данных в вашу среду Splunk.

  3. Выберите источники данных:

    • События

    • Потоки

  4. В вашей среде Splunk выполните поиск по Cato Networks CIM Add-on for Splunk и установите его.

  5. (Необязательно) Включите Splunk Enterprise Security для расширенной аналитики и обнаружений.

Рекомендуемая конфигурация

Для лучшей видимости в Splunk мы рекомендуем включить как События, так и Потоки для интеграции. Это обеспечит более широкое покрытие телеметрии и позволит вам коррелировать отдельные события безопасности с связанным контекстом трафика. Вы можете включить только один источник данных, если это необходимо, и поддерживается фильтрация событий. Однако для полной видимости и корреляции требуются события и потоки.

Корреляция событий и потоков

События и потоки имеют общее поле Flow ID, которое позволяет коррелировать события безопасности с соответствующим сетевым трафиком. Это помогает вам расследовать инциденты с дополнительным контекстом трафика и улучшает анализ в сети, безопасности и активности пользователя.

Связанные ресурсы

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев