Cato предоставляет возможность контроля на уровне потоков для трафика, который инспектируется и обрабатывается Cato Cloud. Данные о потоках помогают изучать поведение трафика, понимать политические решения, анализировать использование приложений и пересматривать маршрутизацию по всей вашей среде.
Данные о потоках Cato помогают администраторам выполнять многие из тех же задач, что и NetFlow, IPFIX и sFlow, такие как мониторинг трафика, устранение неполадок, отчетность и судебная экспертиза. Однако данные о потоках Cato обогащены контекстом однопроходной архитектуры, которая включает информацию об уровнях приложений, пользователях, сайтах, политике и безопасности.
Вы можете работать с данными о потоках в реальном времени или экспортировать и запрашивать их для внешних рабочих процессов:
-
Используйте Приложение Управления Cato (CMA) для нативного анализа на основе объектов и сущностей Cato.
-
Передавайте данные в готовые интеграции, сторонние SIEM или облачные хранилища
-
Структурированный анализ потоков на основе ваших существующих инструментов и рабочих процессов
-
-
Используйте API Cato GraphQL для запросов данных для пользовательских рабочих процессов. Это помогает вам строить панели мониторинга, автоматизировать расследования и получать данные программным путем
Поток представляет собой сеанс трафика, обработанный точкой присутствия (PoP) в облаке Cato. Cato генерирует данные о потоках для трафика, оцененного службами Cato, множественными сетевыми и безопасностными движками, которые одновременно анализируют и обрабатывают потоки трафика.
Каждая запись потока включает контекст, необходимый для понимания того, как Cato обрабатывал трафик. Это помогает администраторам исследовать потоки с помощью объектов и сущностей Cato, таких как приложения, сайты, пользователи, правила брандмауэра и сетевые правила. Этот подход позволяет анализировать трафик с использованием объектов и сущностей Cato, вместо того чтобы полагаться исключительно на базовые метаданные сети. Например, администраторы могут исследовать потоки по приложениям, сайтам, пользователям, правилам брандмауэра или сетевым правилам.
Cato не требует отдельных коллекторов NetFlow, IPFIX или sFlow в каждом филиале. Облако Cato обрабатывает трафик на лету и генерирует обогащенные данные потоков из той же инспекционной цепочки, которая применяет сетевые решения, решения удалённого доступа и решения по безопасности. Это дает администраторам централизованную видимость по сайтам, пользователям, приложениям и политикам через CMA, поддерживаемые интеграции и API Cato.
CMA предоставляет нативный анализ данных потоков Cato с использованием тех же объектов и сущностей Cato, которые вы настраиваете и контролируете в CMA. Это помогает вам исследовать трафик в его родном контексте, включая сайты, пользователей, приложения, правила брандмауэра и сетевые правила.
Используйте соответствующие страницы CMA, такие как события и аналитика приложений, чтобы исследовать трафик и углубляться в уровни потоков.
CMA предоставляет готовые интеграции для поддерживаемых платформ, таких как приложение Cato для Splunk. Эта интеграция позволяет анализировать данные о потоках и событиях Cato в Splunk, используя структурированные поля и панели мониторинга Cato. Это помогает командам безопасности и сетевым командам соотносить данные Cato с другими телеметрическими данными в их среде Splunk.
Cato поддерживает дополнительные методы для отправки или получения данных о потоках для внешних систем. Доступные данные, поля и поведение могут варьироваться в зависимости от метода интеграции.
Cato может передавать данные о событиях и потоках внешним системам. Используйте этот вариант, когда вам нужно загрузить данные Cato в SIEM, хранить данные для соблюдения нормативных требований или соотносить данные Cato с другими источниками телеметрии.
Интеграции с SIEM позволяют загружать данные Cato в сторонние платформы аналитики безопасности. Эти интеграции помогают командам безопасности анализировать события Cato и данные о потоках вместе с другими телеметрическими данными безопасности.
Для получения дополнительной информации см. соответствующую документацию по интеграции с SIEM.
Cato может передавать данные в облачные хранилища для загрузки внешними инструментами или для процессов сохранения. Поддерживаемые назначения облачных хранилищ включают:
Затем внешние инструменты могут извлекать данные из облачного хранилища для анализа, отчетности или архивных рабочих процессов.
Вы можете использовать API Cato GraphQL для запросов данных для пользовательских панелей управления, автоматизации, отчетности и расследований. Этот вариант полезен, когда вам нужен программный доступ к данным Cato для рабочих процессов, которые не покрываются родными страницами или поддерживаемыми интеграциями.
Для получения дополнительной информации см. Что такое API Cato.
0 комментариев
Войдите в службу, чтобы оставить комментарий.