将Cato事件与Microsoft Sentinel集成

概览

使用 Microsoft Sentinel 集成,将 Cato 事件数据包括在您现有的监控、关联和调查工作流中。 

Cato 提供两种类型与 Microsoft Sentinel 的集成。 每种方法根据您的目标与环境提供独特的优势:

  • 本机一站式集成直接从 Cato 发送事件到 Sentinel,并自动映射到 Sentinel 数据模型,因此仪表板、分析规则、警报及其他 Sentinel 功能可以无需额外解析或标准化处理 Cato 事件数据。
    集成通过标准 Cato MS 租户连接器进行认证和跨 Cato Microsoft 集成的传输。 共享连接器为集成(如Entra ID和应用程序与数据API)提供一致的配置工作流和集中访问控制。
  • Cato GitHub repo 可用一种自定义 GitHub 集成。 更多详细信息,请参见下文中的选择本机一站式与自定义 GitHub 集成方法

用例

示例公司使用 Microsoft Sentinel 进行集中安全监控和响应。 作为 Cato 的客户,他们从关键安全功能如 IPS 中获得有用的数据。 他们可以使用此集成将高严重性 IPS 事件类型直接上传到 Sentinel,在那里它们可以轻松地与现有的安全运营中心(SoC)团队工作流程集成。

先决条件

  • 在 CMA 中位于资源 > 集成 > 已配置集成下的 MS 租户集成。

    这是 Microsoft 应用程序的父集成。

  • 在 Sentinel 中,存在一个用于存储 Cato 事件的现有日志分析工作区。
  • 要添加连接器,您必须拥有 集成(在 资源 部分中)的编辑者权限。 有关更多信息,请参阅 使用 RBAC 管理管理员角色
  • 回顾 事件集成入门中的所有 Cato 事件集成的先决条件。

创建 Microsoft 租户集成

MS Tenant 作为大多数 Microsoft 应用程序的主控连接器。 添加 Microsoft 集成时,首先创建父连接器。 您只需一次配置此连接器,然后可以用于所有 Microsoft 应用。

要创建 MS 租户集成:

  1. 从导航菜单中选择 资源 > 集成, 然后点击 已配置集成 标签页。
  2. 单击 新建新连接器 面板打开。

  3. 新连接器 面板中,选择 MS Tenant(配置新MS Tenant) 应用。

    New_Microsoft_365_Connector.png
  4. 输入 连接器名称

  5. 点击 授权并保存

    一个新的浏览器标签页打开到Microsoft 365应用程序。

  6. 在新浏览器选项卡中,认证 Microsoft 365 应用程序:

    1. 选择 Microsoft 账户以用于 Microsoft 365 应用。

      否则,可能会出现 Microsoft 认证错误。

    2. 输入 Microsoft 账户的密码并批准。

    3. 接受 权限以允许 Cato 访问 Microsoft 365 应用程序。

      成功页面显示权限已应用。

    4. 您可以关闭浏览器标签页并返回Cato管理应用程序。
  7. Microsoft 365 应用已添加到 集成应用 标签页。

创建 Sentinel 集成

通过指定目标 Microsoft 租户、工作区和表来在 CMA 中定义 Sentinel 集成。 您还可以使用过滤器定义在集成中要包含的事件。 保存 Sentinel 集成后,您需要认证到 Microsoft 租户并允许 Cato 将数据推送到您的 Sentinel 账户。

在CMA中创建集成后,出于安全原因,您有10分钟的时间在Microsoft中完成该过程。 如果在这个时间框架内进程未完成,您需要在 CMA 中删除集成,然后重新开始。

在集成创建后,数据将上传到你指定的表中 Microsoft 中。 Cato 在表名称后附加字母 "_CL" 以帮助您将其与 Microsoft 中内置表格区分开来。

在 CMA 中删除集成不会移除在 Microsoft 中创建的任何资源。

注意: 如果访问第三方服务仅限于特定的 IP 地址,请参阅这篇 文章 以获取您需要允许的 Cato IP 地址列表。 您必须登录才能查看文章。

过滤器

使用过滤器控制导出到 Microsoft Sentinel 的 Cato 事件。 这有助于降低摄取成本、减少噪音,并将调查重点放在最相关的特定站点、用户或区域事件上。 您还可以使用过滤器将不同的事件子集路由到不同的 SIEM 环境。

使用过滤器组根据任意 事件字段或字段组合定义过滤器。 每个组内的条件使用与逻辑。 或逻辑应用于组之间。 截图中的过滤器为集成配置导出:

  • 来自巴黎或马德里、属于子类型互联网防火墙的事件,并导致监控或提示以外的操作
  • 用户名包含测试

要创建 Sentinel 集成:

  1. 从导航菜单中选择 资源 > 集成
  2. 已配置的集成选项卡上,点击新建新集成 面板打开。

  3. 选择 Microsoft Sentinel 并配置以下字段:

    1. 为此集成输入一个 名称
    2. 连接器租户 字段中选择 MS 租户集成的名称。 
    3. 输入您现有的 日志分析工作区名称,接收 Microsoft 日志分析中的数据。
    4. 输入一个新的 日志分析表名,以使用此名称在日志分析工作区中保存数据。 
    5. 定义您希望 Microsoft 在 表格保留天数 字段中保留 Cato 数据的天数。
    6. 可选:添加过滤器以控制发送到 Microsoft Sentinel 的 Cato 事件。
  4. 单击 保存 以将集成部署到 Microsoft。 
    注意: 您现在有10分钟的时间完成 Microsoft 中的设置。
  5. 浏览器标签页打开并引导您 授权 在 Microsoft 中创建集成。
    注意: 您必须用创建 MS 租户集成时使用的同一租户授权集成。 用户必须具有在该租户上创建资源的权限。
  6. 在 Microsoft 门户中,选择包含目标日志分析工作区的资源组和区域,然后点击 审核 + 创建
  7. 点击 创建 启动部署。
  8. 部署完成后,您可以关闭 Microsoft 窗口。
  9. 在 CMA 中,刷新 集成 页面。 集成状态出现在 集成应用 标签页中。
image-20251019-105133.png

在原生的 Turnkey 和自定义 GitHub 集成方法之间的选择

除了本文中描述的原生快速集成方法之外,您还可以使用 Cato 的 GitHub 账户中的工具将 Cato 事件集成到 Microsoft Sentinel。 每种方法提供的不同优势取决于您的目标和环境。

何时使用原生集成

Cato 的原生集成提供了一个可扩展和支持的解决方案,配置要求极少。 原生集成的优点包括:

  • 无 API 相关限制高效处理大量事件
  • 由 Cato 完全维护与支持
  • 自动映射 Cato 与 Microsoft Sentinel 之间的架构
  • 支持过滤器优化发送到 Microsoft Sentinel 的数据

何时使用 GitHub 集成

GitHub 集成提供了灵活性,适用于需要自定义数据源或处理逻辑的高级使用情况。 您可能希望在以下情况下使用此集成:

  • Cato 集成不支持您想要摄取的数据类型
  • 您希望自定义架构或事件馈送数据

已知限制

  • 大型事件限制:某些XOps事件可以在raw_data字段中包含丰富的故事信息,这可能导致事件超过Microsoft Sentinel的摄取大小限制(大约1 MB)。 发生这种情况时,Cato仍将事件转发到Sentinel,但省略raw_data字段以保持与Sentinel摄取要求的兼容性。

这篇文章有帮助吗?

1 人中有 0 人觉得有帮助

0 条评论