本文解释了如何配置 CrowdStrike 集成以转发 Cato 事件。
注意
注意: 在 Cato 管理应用程序中启用连接器可以使用 HEC/HTTP 通用连接器与 CrowdStrike 连接,但不支持供应商特定字段(供应商、供应商产品)和 CrowdStrike 模式解析。 供应商特定字段和可选的 CrowdStrike 解析器当前处于 Beta 阶段。 有关更多信息和启用这些功能,请联系您的 CrowdStrike 代表。
CrowdStrike Next-Gen SIEM 集成使 Cato 能够直接通过原生连接器将事件转发至 CrowdStrike。 您可以流式传输标准化的 Cato 事件,完整地传递关于网络活动、威胁、用户、设备及所有其他流量方面的丰富背景信息到 Falcon Next Gen,让分析人员无需离开 Falcon 就可以进行完整的网络背景调查和搜索。
要配置 CrowdStrike 集成,您需要:
-
在 SaaS 应用程序中配置集成
-
在 Cato 管理应用程序 (CMA) 中创建 API 连接器
某公司正在使用 CrowdStrike 进行集中安全监控和响应。 作为 Cato 客户,他们拥有来自关键功能的数据,例如网络活动、威胁、用户数据、设备及所有其他流量方面的信息,穿越 Cato 平台。 他们可以使用这种集成将数据直接发送给 CrowdStrike,并能够轻松地将其集成到现有的 SOC 和 NOC 团队工作流程中。
-
Falcon Next-Gen SIEM 或 Falcon Next-Gen SIEM 10GB 订阅。
-
对于供应商特定字段和可选 CrowdStrike 解析器,Beta 功能需要在 CrowdStrike 中启用。 有关更多信息和启用这些功能,请联系您的 CrowdStrike 代表。
-
要添加连接器,您必须在资源部分中拥有集成的编辑权限。 有关更多信息,请参阅使用 RBAC 管理管理员角色。
-
请查看事件集成入门中所有 Cato 事件集成的先决条件
要配置 CrowdStrike 集成,请创建一个数据连接。
在 Falcon 控制台中,创建数据连接并识别XXXXX。
要配置 CrowdStrike 集成:
-
在您的 Falcon CrowdStrike 控制台中,导航到数据连接器 > 数据连接器 > 数据连接。
-
点击添加连接。
-
在产品过滤器中应用 HEC 过滤器,在连接器类型过滤器中应用 Push 过滤器。
-
点击HEC/HTTP 事件连接器并点击配置。
-
为连接添加一个名称,并添加以下详细信息(仅在 CrowdStrike 中启用时支持,更多信息请参阅先决条件):
-
供应商:CatoNetworks
-
供应商产品:CatoNetworksSASECloud
-
(可选)解析器:cato-sase
-
-
确认条款和条件并点击创建连接。
-
连接创建后,点击三点选择生成 API 密钥,接着点击再生 API 密钥。
-
复制并保存API 密钥和API URL以便将其输入 CMA。
0 条评论
文章评论已关闭。