将Cato事件与Microsoft Sentinel集成

概览

使用Microsoft Sentinel集成将Cato事件数据包括到您现有的监控、关联和调查工作流中。 原生集成直接从Cato发送事件到Sentinel,并自动将其映射到Sentinel数据模型,因此仪表板、分析规则、警报和其他Sentinel功能可以在不进行额外解析或标准化的情况下处理Cato事件数据。

集成使用标准的Cato Microsoft租户连接器进行身份验证和跨Cato Microsoft集成的传输。 共享连接器为集成(如Entra ID和应用程序与数据API)提供一致的配置工作流和集中访问控制。

用例

公司正在使用 Microsoft Sentinel 进行集中安全监控与响应。 作为 Cato 客户,他们拥有来自关键安全性功能,如 IPS 的有用数据。 他们可以使用此集成将高严重性 IPS 事件类型直接上传到 Sentinel,在那里它们可以轻松地与现有的安全运营中心(SoC)团队工作流程集成。

先决条件

  • 在CMA的已配置的集成标签中进行MS租户集成(资源>集成)。

    这是 Microsoft 应用的父集成

  • 在 Sentinel 中已存在日志分析工作区以存储 Cato 事件
  • 要添加连接器,您必须拥有 集成(在 资源 部分中)的编辑者权限。 有关更多信息,请参阅 使用 RBAC 管理管理员角色
  • 查看事件集成入门中所有Cato事件集成的先决条件。

创建 MS 租户集成

MS Tenant 作为大多数 Microsoft 应用程序的主控连接器。 当为Microsoft程序添加集成时,配置集成的第一步是创建主控连接器。 您只需配置这个连接器一次,然后就可以在 所有Microsoft应用中使用。

要创建 MS 租户集成:

  1. 从导航菜单中选择资源>集成,然后单击已配置集成选项卡。
  2. 单击 新建新连接器 面板打开。

  3. 新连接器 面板中,选择 MS Tenant(配置新MS Tenant) 应用。

    New_Microsoft_365_Connector.png
  4. 输入 连接器名称

  5. 点击 授权并保存

    一个新的浏览器标签页打开到Microsoft 365应用程序。

  6. 在新浏览器选项卡中,认证 Microsoft 365 应用程序:

    1. 选择 Microsoft 账户以用于 Microsoft 365 应用。

      否则,可能会出现 Microsoft 认证错误。

    2. 输入应用程序的密码并批准它。
    3. 接受 权限以允许 Cato 访问 Microsoft 365 应用程序。

    4. 屏幕显示您已成功应用了应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回Cato管理应用程序。

  7. Microsoft 365 SaaS 应用程序已被添加到 集成应用程序 选项卡。

创建 Sentinel 集成

通过指定目标 Microsoft Tenant、工作区和表,以及定义您希望在集成中包含的事件使用过滤器,从而在 CMA 中定义 Sentinel 集成。 保存 Sentinel 集成后,您需要进行 Microsoft tenant 的认证并允许 Cato上传数据到您的 Sentinel 账户。

在CMA中创建集成后,出于安全原因,您有10分钟的时间在Microsoft中完成该过程。 如果在这个时间框架内进程未完成,您需要在 CMA 中删除集成,然后重新开始。

在集成创建后,数据将上传到你指定的表中 Microsoft 中。 Cato 在表名称后附加字母 "_CL" 以帮助您将其与 Microsoft 中内置表格区分开来。

在 CMA 中删除集成不会移除在 Microsoft 中创建的任何资源。

注意: 如果对第三方服务的访问仅限于特定的 IP 地址,请参阅这篇 文章 以获取需要允许的 Cato IP 地址列表(您必须登录才能查看此文章)。

要创建 Sentinel 集成:

  1. 从导航菜单中,单击 资源 > 集成
  2. 已配置的集成选项卡上,点击新建新集成 面板打开。

  3. 选择 Microsoft Sentinel 并配置以下字段:

    sentinel_3.png
    1. 为此集成输入一个 名称
    2. 连接器租户 字段中选择 MS 租户集成的名称。 
    3. 输入您现有的 日志分析工作区名称,接收 Microsoft 日志分析中的数据。
    4. 输入一个新的 日志分析表名,以使用此名称在日志分析工作区中保存数据。 
    5. 定义您希望 Microsoft 在 表格保留天数 字段中保留 Cato 数据的天数。
    6. 添加一个 过滤器 以仅向 Microsoft Sentinel 发送某些 Cato 事件。 
  4. 单击 保存 以将集成部署到 Microsoft。 您现在有十分钟的时间来完成在 Microsoft 中的设置。

  5. 一个浏览器标签页打开并引导您授权在 Microsoft 中创建集成。

    注意:您必须与上述 MS 租户集成中创建主连接器的同一租户授权集成,并拥有在该租户上创建资源的用户权限。

  6. 在 Microsoft 门户中,选择包含目标日志分析工作区的资源组和区域,然后按 审查+创建 。 

    sentinel_4.png
  7. 点击 创建 启动部署。
  8. 部署完成后,您可以关闭 Microsoft 窗口。

  9. 在 CMA 中,刷新 集成 页面后,您可以查看 集成应用 标签页中的集成状态。

    image-20251019-105133.png

在原生的 Turnkey 和自定义 GitHub 集成方法之间的选择

除了本文中描述的原生快速集成方法之外,您还可以使用 Cato 的 GitHub 账户中的工具将 Cato 事件集成到 Microsoft Sentinel。 每种方法提供的不同优势取决于您的目标和环境。

何时使用原生集成

Cato 的原生集成提供了一个可扩展和支持的解决方案,配置要求极少。 原生集成的优点包括:

  • 能够在没有基于 API 限制的情况下有效地处理大量事件
  • 由 Cato 完全维护和支持
  • 自动映射 Cato 与 Microsoft Sentinel 之间的架构

何时使用 GitHub 集成

GitHub 集成提供了灵活性,适用于需要自定义数据源或处理逻辑的高级使用情况。 您可能希望在以下情况下使用此集成:

  • Cato 集成不支持您想要摄取的数据类型
  • 您希望自定义架构或事件馈送数据

已知限制

  • 大型事件限制:某些XOps事件可以在raw_data字段中包含丰富的故事信息,这可能导致事件超过Microsoft Sentinel的摄取大小限制(大约1 MB)。 发生这种情况时,Cato仍将事件转发到Sentinel,但省略raw_data字段以保持与Sentinel摄取要求的兼容性。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论