Splunk 集成使 Cato 能够通过本地连接器将数据直接上传到 Splunk,并支持两个数据来源:
- 事件 - 当网络或系统中发生特定活动时生成,例如当匹配访问权限策略规则或检测到威胁时。 这些记录提供关于安全性和访问权限策略执行的离散、实时洞察。 数据使用 Cato 的 事件架构 发送。
-
流量 - 起始为网络流量 (五元组),并随着不同Cato引擎的使用而丰富应用层信息。 除了应用程序和用户上下文外,流量还包括聚合会话数据,如字节、数据包和持续时间,提供随时间推移的完整网络活动视图。 流量字段的超集由appStats模式表示。
一些字段仅在通过本地集成流式传输时可用,并且不属于appStats或应用分析的一部分。 例如,flow_id和聚合指标,如上行和下行数据包和字节,以及流量持续时间。 这些字段标记如下评论:
仅适用于在CMA中创建的本地流量数据集成。
注意:如果XOps事件(事件类型检测和响应)包含事件信息的原始数据字段,且该字段(包括故事信息)超过5 MB,则发送到Splunk时可能会被截断(这是Splunk默认值,但可以增加)。
公司正在使用Splunk进行集中安全性监控和响应。 作为Cato客户,他们拥有来自密钥功能的有用数据,例如网络活动、威胁、用户数据、设备以及Cato平台流量的所有其他方面。 他们可以使用此集成直接发送这些数据到Splunk,在那里他们可以轻松地将其整合到已有的SOC和NOC团队工作流程中。
- 要添加连接器,您必须在 资源 部分拥有 集成 编辑者权限。 有关详细信息,请参阅 使用RBAC管理管理员角色。
- 请在 事件集成入门 中查看所有 Cato 事件集成的先决条件。
在Splunk中创建HEC令牌后,您将在CMA中定义一个集成。 您可以使用过滤器限制要在集成中包含的事件数据。 集成创建后,数据将流入您指定的Splunk索引。
在配置过程中,您可以配置是否集成事件、流量或两者皆是。 默认情况下,仅配置事件。 流量数据源可以生成比事件显著更高的数据量。 确切的量取决于您的流量。 CMA支持配置多个集成,允许您根据需要发送不同的数据来源。
Splunk的网址和端口是访问您账户的HEC端点。 通常,这是您用于访问Splunk的网络网址,前面附有字符"http-inputs-"。 例如,如果您的账户是http://mydomain.splunk.com,您将使用https://http-inputs-mydomain.splunkcloud.com/。 欲了解更多细节,请参阅Splunk文档。 端口是可选的,如果您不指定其他内容,我们使用443(这是Splunk Cloud的默认值)。
在CMA中删除集成不会删除在Splunk中创建的任何资源。
注意:
-
对于 Splunk Enterprise(自管理)集成:
- Splunk HEC 端点必须通过互联网可访问(例如,通过公共 IP 或公共 DNS 名称暴露)。 不支持私有 IP 或仅限内部使用的端点。
- 必须启用 TLS 检查,并且端点必须展示由可信公共证书颁发机构颁发的有效 X.509 证书。 不支持自签证书或私有颁发的 CA 证书,因为连接仅使用标准 CA 信任链进行验证。
要创建 Splunk 集成:
- 在您的 Splunk 账户中,为此集成创建一个新令牌。 有关详细信息,请参阅 Splunk 文档。 您可以定义自定义索引或使用令牌的默认索引。
- 复制显示的令牌值。 您将需要此配置来与 Cato 集成。
- 在导航菜单中,点击 资源 > 集成。
- 在 集成应用程序 标签页上,点击 新建。 新集成 面板打开。
-
选择Splunk并配置以下字段:
- 在认证下拉菜单 中,选择API密钥。
- 为此集成设置连接器名称和描述(可选)。
- 您在Splunk中创建的输入URL和API密钥。
- 指定将从Cato接收数据的索引。 如果您留空,我们将使用HEC令牌上定义的默认索引。
- 是否集成事件、流量或两者皆是。
-
一个 过滤器 限制发送到 Splunk 的 Cato 事件。
注意:过滤器仅适用于事件数据。
- 如果集成发生错误,您希望是否创建事件。
- 点击保存。
- 在CMA中刷新集成页面后,您可以在集成应用程序标签页中查看集成的状态。
除了本文描述的原生Turnkey集成外,您还可以使用Cato GitHub账户中的工具将Cato事件整合到Splunk中。 每种方法根据您的目标和环境提供不同的优势。 您还可以根据需要同时使用两个集成。
0 条评论
请登录写评论。