配置 Cato 技术插件以集成 Splunk (EA)

注意

注意: 这是一个早期可用 (EA) 特性,仅限于有限发布。 有关启用该功能的更多信息,请联系您的 Cato Networks 代表或发送电子邮件至 ea@catonetworks.com

概述

Cato 允许您将事件和流量直接传输到 Splunk,并使用 Cato 技术插件 (TA) 将数据规范化到 Splunk 通用信息模型 (CIM),这样您可以立即使用标准的 Splunk 搜索、仪表板和检测内容而无需构建自定义解析。 Cato TA 是一个 Splunk 应用程序,将 Cato 遥测映射为符合 CIM 的字段,以便与 Splunk 分析、仪表板和检测一起使用。

CIM 规范化数据使您的遥测数据可在整个 Splunk 生态系统中立即使用,包括 Splunk 企业安全 (ES)。 您可以使用开箱即用的仪表板、关联搜索和检测内容,而无需额外的自定义,减少操作开销,加速网络、安全和用户活动的调查工作流程。

先决条件

必填:

  • Splunk 通用信息模型 (CIM) 插件

可选:

  • Splunk 企业安全 (ES)

理解 Cato Splunk 集成

Cato Splunk 与 TA 的集成支持以下数据源:

  • 事件 - 由 Cato 平台生成的事件,包括互联网和广域网防火墙、威胁防护、认证、系统和连接性变更

  • 流量 - 富化的网络流量遥测,带有应用程序上下文和聚合指标

您可以以以下格式摄取数据:

  • 原生 Cato 模式

  • 使用 Cato TA 的 Splunk 通用信息模型 (CIM)

基于 CIM 的选项使您能够快速使用 Splunk 原生分析和安全内容。

有关更多信息,请参阅 事件到 Splunk CIM 字段映射 (EA)

使用 CIM 和 Splunk 企业安全的好处

使用 CIM 规范化数据与 Cato 技术插件提供以下好处:

  • 使用标准化的 Splunk 数据模型进行一致分析跨环境

  • 在 Splunk ES 中运行开箱即用的关联搜索和检测

  • 启用网络、安全和用户活动的预构建仪表板

  • 减少自定义字段提取和规范化的需求

  • 加速安全运营中心 (SOC) 上线和调查工作流程

当您使用 Splunk 企业安全 (ES) 时:

  • CIM 映射的数据自动填充 ES 数据模型

  • 预构建的关联搜索生成显著事件

  • 安全仪表板提供对威胁和活动的即时可见性

  • 内容包如 ESCU,无需额外的自定义即可工作

关于 Cato TA

Cato 技术插件 (TA) 将 Cato 遥测规范化为符合 CIM 的字段。应用详情:

  • 应用名称:Cato Networks CIM 插件 for Splunk

  • 应用 ID: TA-catonetworks-cim

  • 作者:Cato Networks

支持的 CIM 数据模型

Cato 技术插件将遥测映射到这些 Splunk CIM 数据模型:

  • 网络流量

  • 入侵检测

  • 网络解决方案(DNS)

  • 网页

  • 认证

  • 恶意软件

  • 变更(账户管理)

部署 Cato TA

配置集成并部署技术插件以规范化数据。

配置与 Cato 技术插件的集成:

  1. 从导航菜单中,选择 资源 > 集成

  2. 配置 Splunk 集成,以流式传输数据到您的 Splunk 环境。

  3. 选择数据源:

    • 事件

    • 流量

  4. 在您的 Splunk 环境中,搜索 Cato Networks CIM 插件 for Splunk 并安装它。

  5. (可选) 启用 Splunk 企业安全以进行高级分析和检测。

推荐配置

为了在 Splunk 中获得最佳可见性,我们建议您为集成启用 事件流量。 这提供了更广泛的遥测覆盖范围,并使您能够将离散的安全事件与相关流量上下文关联。 如果需要,您可以仅启用一个数据源,并支持事件过滤。 然而,完整的可见性和关联需要事件和流量。

关联事件与流量

事件和流量共享 流量 ID 字段,这使您能够将安全事件与相关的网络流量关联。 这有助于您通过额外的流量上下文来调查事件,并改善网络、安全和用户活动的分析。

相关资源

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论