本文解释了如何将 Azure 存储账户与您的 Cato 账户集成,以便直接上传事件到存储账户。
对于在 Azure 存储账户中查看和分析事件数据的客户,您可以配置您的 Cato 账户,以自动和持续地将事件上传到该账户。 这与 eventsFeed API 不同,后者要求客户从 Cato 提取数据,并受限速等问题的影响。
Cato 云按如下方式将数据上传到存储账户:每 60 秒一次,或当数据超过 10MB 时。 Cato 使用 HTTPS 上传数据到 Azure 存储账户。
事件以压缩的 .gz 格式发送,某些客户端(例如某些浏览器)可能会在不移除 .gz 扩展名的情况下自动解压这些文件。 如果发生这种情况,更改文件扩展名为 .log 或 .txt 将使文件的格式与其扩展名正确对齐。
示例公司正在使用IPS 可疑活动监控功能,生成大量安全事件。 他们决定创建一个 Azure 存储账户来存储所有事件数据,然后可以与他们的 SIEM 解决方案集成。 示例公司启用事件集成,并将Azure存储账户作为集成添加到他们的Cato账户中,使所有IPS事件自动上传到Azure存储。
-
请在事件集成入门中查看所有 Cato 事件集成的先决条件。
-
创建新的 Azure 存储账户和容器。
-
Azure 提供如下连接字符串:
-
访问密钥——连接字符串自动生成。
-
SAS——配置推荐的权限和设置,之后生成连接字符串。
-
-
在 Cato 管理应用程序中使用上一步的连接字符串创建 Azure 集成。
创建新的存储账户和容器用于 Cato 事件数据,我们建议您不要使用现有存储账户进行事件集成。 您可以使用访问密钥或共享访问签名(SAS)生成的Azure连接字符串。
对于使用 Azure 访问密钥来认证 Cato 存储账户的客户,请复制连接字符串。 您将在配置 Azure 集成时,在 Cato 管理应用程序中粘贴访问密钥连接字符串。
创建使用访问密钥的存储账户:
-
使用适当的设置创建新的存储账户。
-
在实例详情中,选择标准性能。
-
点击审核,然后点击创建。
-
-
为事件数据创建一个新容器(数据存储 > 容器)。
在您为事件创建集成时,您将在Cato 管理应用程序中输入容器名称(如下)。
-
在左侧导航窗格中,转到安全 + 网络部分,选择访问密钥。
-
复制存储账户的访问密钥连接字符串。
-
继续添加 Azure 事件账户存储(如下)。
Azure SAS 允许您限制存储容器的权限,例如允许的 IP 地址和连接字符串的到期日期。
SAS 连接字符串的令牌包括一个到期日期,显示在事件集成页面上。 到期日期之后,令牌不再有效,Cato 无法将事件推送到存储容器。 为保持事件的不中断上传,请确保在 SAS 到期日期之前生成新的连接字符串并将其应用到集成中。
在事件集成标签页中为Azure存储账户创建新的集成,并将连接字符串粘贴到集成中。 该字符串授予Cato将事件数据上传到存储账户的权限。 创建集成后,您无法编辑字符串,取而代之的是您可以重置字段,然后粘贴连接字符串。
在您定义并启用Azure存储集成后,需要几分钟时间Cato才开始将事件上传到存储账户。
您可以选择过滤上传到存储账户的事件。 例如,仅上传您的账户的IPS事件。 默认设置是不过滤,所有事件都上传到存储账户。
要添加一个Azure存储集成以为您的账户上传事件:
-
从导航菜单中,选择资源 > 事件集成。
-
选择启用与Cato事件的集成。
-
点击新建。 新集成面板打开。
-
在集成中,选择Azure账户存储,并输入集成的名称。
-
根据Azure的设置输入集成的这些连接详情:
-
连接字符串 - 粘贴从存储账户复制的连接字符串
-
名称 - 存储账户中容器的相同名称
-
(Optional) Folder - Identical name for the folder path within the container (if necessary)
-
-
(可选) 定义上传到存储账户的事件的过滤器设置。
定义多个过滤器时,存在与关系,匹配所有过滤器的事件将被上传。
-
点击应用。 Azure存储账户现已与您的账户集成。
注意: 您可以为您的账户定义最多三个事件集成。
0 条评论
请登录写评论。