将 Cato 数据集成到 Splunk

概述

使用 Splunk 集成，包括 Cato 网络和安全性数据在现有的监控、关联与调查工作流中。本地集成直接从 Cato 发送数据到 Splunk，允许您在集中平台中分析 Cato 活动及其他来源的数据。这有助于您创建仪表板、搜索、警报和报告，而无需额外的数据收集机制。

Cato 还提供了从 Cato GitHub 仓库的自定义 GitHub 集成。详情请参阅选择本地创业板与自定义 GitHub 集成方法。

Splunk 数据来源

Splunk 集成支持两种数据来源：

事件 - 当网络或系统发生特定活动时生成，例如匹配策略规则或检测到威胁时。这些记录提供关于安全性和访问权限策略执行的离散、实时洞察。数据使用 Cato 的事件架构发送。
流量 - 源自网络流量（5元组），随着应用程序级信息的出现，Cato 引擎会进行丰富。除了应用程序和用户上下文外，流量还包括聚合会话数据，如字节、数据包和持续时间，提供随时间推移的完整网络活动视图。流量字段的超集由appStats模式表示。

一些字段仅在通过本地集成流式传输时可用，并且不属于appStats或应用分析的一部分。例如，flow_id和聚合指标，如上行和下行数据包和字节，以及流量持续时间。这些字段标记如下评论：

仅适用于在CMA中创建的本地流量数据集成。

默认情况下，新的集成仅导出事件。流量数据来源可以生成显著更多的数据量与事件相比。确切的量取决于您的流量。 CMA支持配置多个集成，允许您根据需要发送不同的数据来源。仅支持事件的过滤。

用例

事件

示例公司使用 Splunk 为集中安全监控和响应。作为 Cato 客户，他们拥有源于诸如网络活动、威胁、用户数据、设备及所有其他流量方面的关键功能的数据。他们可以使用此集成直接发送这些数据到Splunk，在那里他们可以轻松地将其整合到已有的SOC和NOC团队工作流程中。

流量

Splunk中的安全分析师识别出了一个可疑事件，用户访问了可能与数据泄露相关的高风险应用程序。仅使用Cato事件，分析师可以查看访问权限策略决策、用户身份和应用程序。然而，事件并没有显示传输了多少数据或会话持续了多长时间。

通过使用flow_id字段将聚合流量数据与事件关联，分析师可以查看完整的会话上下文，包括传输的总字节数、数据包数量和会话持续时间。这可以使分析师确定活动是涉及较少互动还是大型数据传输，后者可能表明数据泄露。

通过结合事件和流量数据，分析师可以快速验证事件的严重性并采取适当的措施。

先决条件

要添加连接器，您必须在资源部分拥有集成编辑者权限。有关详细信息，请参阅使用RBAC管理管理员角色。
Splunk URL 和端口是访问您账户的 HEC 终端。通常，这是您用来访问 Splunk 的网址，附加字符"http-inputs-"在开头。例如，如果您的账户是 http://mydomain.splunk.com，您将使用 https://http-inputs-mydomain.splunkcloud.com/。更多详情请参阅 Splunk 文档。端口是可选的，如果您没有指定其他内容，我们使用 443（这是 Splunk 云的默认值）。
查看所有 Cato 事件集成的先决条件在开始使用事件集成。

创建 Splunk 集成

添加一个 Splunk 集成，以将 Cato 事件和流量发送到 Splunk HTTP 事件收集器 (HEC) 终端。要设置集成，请在 Splunk 中创建一个 HEC 令牌，在 CMA 中创建一个新的 Splunk 集成，并输入摄取 URL 和 API 密钥。

在配置过程中，您可以配置是否集成事件、流量或两者。默认情况下只导出事件。流量数据源可以生成比事件显著更高的数据量。确切的数量取决于您的流量。 CMA 支持配置多个集成，允许您根据需要发送不同的数据来源。

注意：

对于 Splunk Enterprise（自管理）集成：
- Splunk HEC 终点必须通过互联网可达（即通过公开的 IP 地址或公共 DNS 名启用）。不支持私有 IP 或仅限内部使用的端点。
- 必须启用 TLS 检查，并且端点必须展示由可信公共证书颁发机构颁发的有效 X.509 证书。不支持自签证书或私有颁发的 CA 证书，因为连接仅使用标准 CA 信任链进行验证。
在CMA中删除集成不会删除在Splunk中创建的任何资源。

过滤器

使用过滤器控制导出到 Splunk 的 Cato 事件。这有助于降低摄取成本，减少噪声，并将调查集中在对特定站点、用户或地区最相关的事件上。您还可以使用过滤器将不同子集的事件路由到不同的 SIEM 环境。

使用过滤器组定义基于任何事件字段或字段组合的过滤器。每个组中的条件使用 AND 逻辑。在组之间应用 OR 逻辑。截图中的过滤器配置集成以导出：

事件来源自巴黎或马德里，属于互联网防火墙 子类型，并导致除了监控或提示操作之外的其他结果
用户名包含测试

要创建 Splunk 集成：

在您的 Splunk 账户中，为此集成创建一个新令牌。有关详细信息，请参阅 Splunk 文档。您可以定义自定义索引或使用令牌的默认索引。
复制显示的令牌值。您需要它来配置与 Cato 的集成。
从导航菜单中选择 资源 > 集成。
在 配置的集成标签页中，点击新建。 新集成 面板打开。
选择Splunk并配置以下字段：
1. 在权限下拉菜单中，选择 API 密钥。
2. 输入一个 连接器名称 和此集成的可选描述。
3. 输入您在 Splunk 中创建的 摄取 URL 和 API 密钥。
4. 指定接收来自 Cato 的数据索引。如果您留空，则 Cato 会使用设置在 HEC 令牌上的默认索引。
5. 是否集成事件、流量或两者皆是。
6. 可选：添加过滤器以控制发送到 Splunk 的 Cato 事件。
  注意：过滤器仅适用于事件数据。
7. 指定是否在集成错误发生时创建事件。
点击保存。
在 CMA 中，刷新集成页面。集成状态出现在 集成应用程序标签中。

在原生Turnkey和自定义GitHub集成方法之间选择

除了本文描述的原生Turnkey集成外，您还可以使用Cato GitHub账户中的工具将Cato事件整合到Splunk中。每种方法根据您的目标和环境提供不同的优势。您还可以根据需要同时使用两个集成。

何时使用原生集成

Cato的本地集成提供一个可扩展且支持良好的解决方案，并且配置最少。原生集成的优势包括：

无 API 限制高效处理大量事件
由 Cato完全维护和支持
支持过滤器以微调发送到 Splunk 的数据

何时使用GitHub集成

GitHub集成为高级使用案例提供灵活性，需要自定义数据源或处理逻辑。您可能希望在以下情况下使用此集成：

您希望发送Cato的审计日志数据到Splunk
您想使用 Cato GitHub 仓库作为开源资源来定制集成

已知限制

大型事件限制： 当原始数据字段（包括故事信息）超过 5MB 时，发送到 Splunk 的事件信息可能被截断（这是 Splunk 的默认值，但可以增加）。