在Azure存储账户中存储和管理事件数据的组织可以配置他们的Cato账户,使事件自动和持续上传到该账户。
此集成将事件直接从Cato 云推送到存储账户,而不像需要从Cato提取数据并可能受限于速率限制的eventsFeed API。
Cato 云每隔60秒或数据累积超过10 MB时,将数据上传到存储账户。 数据通过HTTPS安全传输。
事件以压缩的.GZ格式上传。 一些客户端,如某些浏览器,可能会自动解压这些文件,而不会去掉.GZ扩展名。 如果出现这种情况,更改文件扩展名为LOG或TXT将使文件的格式与扩展名正确对齐。
示例公司正在使用IPS 可疑活动监控功能,生成大量安全事件。 他们决定创建一个Azure存储账户来存储所有事件数据,然后可以与他们的SIEM解决方案进行集成。 示例公司启用事件集成,并将Azure存储账户添加为其Cato账户的集成,以便所有IPS事件自动上传到Azure存储。
- 查看在事件集成入门中所有Cato事件集成的必备条件。
为Cato事件数据创建新存储账户和容器。 我们建议不要使用现有存储账户进行事件集成。 您可以使用访问密钥或共享访问签名(SAS)生成的Azure连接字符串。
对于使用 Azure 访问密钥来认证 Cato 存储账户的客户,请复制连接字符串。 在您配置Azure集成时,将访问密钥的连接字符串粘贴到Cato管理应用程序中。
创建使用访问密钥的存储账户:
- 使用适当的设置创建新的存储账户。
-
在实例详情中,选择标准性能。
- 点击审核,然后点击创建。
-
-
为事件数据创建一个新容器(数据存储 > 容器)。
在您为事件创建集成时,您将在Cato 管理应用程序中输入容器名称(如下)。
- 在左侧导航窗格中,转到安全 + 网络部分,选择访问密钥。
-
复制存储账户的访问密钥连接字符串。
- 继续添加 Azure 事件账户存储(如下)。
Azure SAS让您限制存储容器的权限,包括允许的IP地址和连接字符串的到期日期。 想了解关于Cato IP地址的更多信息,请查看这篇文章(您必须登录才能查看)。
SAS 连接字符串的令牌包括一个到期日期,显示在事件集成页面上。 到期日期之后,令牌不再有效,Cato 无法将事件推送到存储容器。 为保持事件的持续上传,在SAS到期日期前生成新连接字符串并应用到集成中。
在事件集成选项卡中为Azure存储账户创建新集成,并粘贴连接字符串到集成。 此字符串授予Cato上传事件数据到存储账户的权限。 创建集成后,您无法编辑字符串。 相反,点击 重置 并粘贴连接字符串。
定义并启用Azure存储集成后,Cato需要几分钟时间开始将事件上传到存储账户。
你可以按事件类型或子类型过滤上传到存储账户的事件。 例如,你可以仅上传IPS事件到你的账户。 默认情况下,不应用过滤器,所有事件会上传到分配的账户。
为了您的账户上传事件,以添加 Azure 存储集成:
- 从导航菜单中,选择资源 > 事件集成。
- 选择启用与Cato事件的集成。
- 点击新建。 新集成面板打开。
- 在 集成 中,选择 Azure 存储账户 并输入集成的 名称。
-
根据Azure的设置输入集成的这些连接详情:
- 连接字符串 - 粘贴从存储账户复制的连接字符串
- 名称 - 存储账户中容器的精确名称
- (可选)文件夹 - 容器内的文件夹路径,如果需要
-
(可选) 定义上传到存储账户的事件的过滤器设置。
定义多个过滤器时,存在与关系,匹配所有过滤器的事件将被上传。
-
点击应用。 Azure 存储账户现已集成到您的账户。
注意: 您最多可以为您的账户定义三个事件集成。
0 条评论
请登录写评论。