在Azure存储账户中存储和管理事件数据的组织可以配置他们的Cato账户,使事件自动和持续上传到该账户。
此集成将事件直接从Cato 云推送到存储账户,而不像需要从Cato提取数据并可能受限于速率限制的eventsFeed API。
Cato 云每隔60秒或数据累积超过10 MB时,将数据上传到存储账户。 数据通过HTTPS安全传输。
事件以压缩的.GZ格式上传。 某些客户端(例如,某些浏览器)可能会自动解压这些文件,而不移除.GZ扩展名。 如果出现这种情况,更改文件扩展名为LOG或TXT将使文件的格式与扩展名正确对齐。
示例公司正在使用IPS 可疑活动监控功能,生成大量安全事件。 他们决定创建一个Azure存储账户来存储所有事件数据,然后可以与他们的SIEM解决方案进行集成。 示例公司启用事件集成并将Azure存储账户作为集成添加到他们的Cato账户中,以便所有IPS事件自动上传到Azure存储中。
- 请检查全部Cato事件集成的前提条件,请参阅开始事件集成。
创建新的存储账户和容器用于 Cato 事件数据,我们建议您不要使用现有存储账户进行事件集成。 您可以使用访问密钥或共享访问签名(SAS)生成的Azure连接字符串。
对于使用 Azure 访问密钥来认证 Cato 存储账户的客户,请复制连接字符串。 您将在配置 Azure 集成时,在 Cato 管理应用程序中粘贴访问密钥连接字符串。
创建使用访问密钥的存储账户:
- 使用适当的设置创建新的存储账户。
-
在实例详情中,选择标准性能。
- 点击审核,然后点击创建。
-
-
为事件数据创建一个新容器(数据存储 > 容器)。
在您为事件创建集成时,您将在Cato 管理应用程序中输入容器名称(如下)。
- 在左侧导航窗格中,转到安全 + 网络部分,选择访问密钥。
-
复制存储账户的访问密钥连接字符串。
- 继续添加 Azure 事件账户存储(如下)。
Azure SAS 允许您限制存储容器的权限,例如允许的 IP 地址和连接字符串的到期日期。
SAS 连接字符串的令牌包括一个到期日期,显示在事件集成页面上。 到期日期之后,令牌不再有效,Cato 无法将事件推送到存储容器。 为保持事件的不中断上传,请确保在 SAS 到期日期之前生成新的连接字符串并将其应用到集成中。
在事件集成选项卡中为Azure存储账户创建新集成,并粘贴连接字符串到集成。 此字符串授予Cato上传事件数据到存储账户的权限。 创建集成后,你不能编辑字符串;相反,你可以重置字段,然后粘贴连接字符串。
定义并启用Azure存储集成后,Cato需要几分钟时间开始将事件上传到存储账户。
你可以按事件类型或子类型过滤上传到存储账户的事件。 例如,你可以仅上传IPS事件到你的账户。 默认情况下,不应用过滤器,所有事件会上传到分配的账户。
为了您的账户上传事件,以添加 Azure 存储集成:
- 从导航菜单中,选择资源 > 事件集成。
- 选择启用与Cato事件的集成。
- 点击新建。 新集成面板打开。
- 在 集成 中,选择 Azure 存储账户 并输入集成的 名称。
-
根据Azure的设置输入集成的这些连接详情:
- 连接字符串 - 粘贴从存储账户复制的连接字符串
- 名称 - 存储账户中容器的相同名称
- (Optional) Folder - Identical name for the folder path within the container (if necessary)
-
(可选) 定义上传到存储账户的事件的过滤器设置。
定义多个过滤器时,存在与关系,匹配所有过滤器的事件将被上传。
-
点击应用。 Azure 存储账户现已集成到您的账户。
注意: 您可以为您的账户定义最多三个事件集成。
0 条评论
请登录写评论。