Cato为Cato Cloud检查和处理的流量提供流级可见性。 流量数据帮助您调查流量行为、理解访问权限策略决策、分析应用程序使用情况,以及审核环境中的路由决策。
Cato流量数据帮助管理员执行与NetFlow、IPFIX和sFlow相同的任务,例如流量监控、故障排除、报告和取证分析。 然而,Cato流量数据在单通架构的背景下得到丰富,包括应用程序级别、用户、站点、访问权限策略和安全性信息。
您可以实时使用流量数据,或导出和查询以进行外部工作流程:
-
使用Cato管理应用程序(CMA)进行基于Cato对象和实体的本地分析。
-
将数据推送到即用型集成、第三方SIEMs或云存储
-
基于您的现有工具和工作流程进行结构化流量分析
-
-
使用Cato GraphQL API查询数据以满足自定义工作流程。 这有助于您建立仪表板、自动化调查并以编程方式检索数据
流量代表了由Cato Cloud中的PoP处理的流量会话。 Cato为由Cato服务评估的流量生成流量数据,这些服务包括多个同时分析和处理流量流的网络设备和安全引擎。
每个流量记录都包含理解Cato如何处理流量所需的背景。 这有助于管理员根据Cato对象和实体(如应用程序、网站、用户、防火墙规则和网络规则)调查流量。 这种方法使您可以使用Cato对象和实体分析流量,而不仅仅依赖于基础网络元数据。 例如,管理员可以通过应用程序、站点、用户、防火墙规则或网络规则调查流量。
Cato不需要在每个分店设置单独的NetFlow、IPFIX或sFlow采集器。 Cato Cloud内联处理流量,并从应用网络设备、远程访问和安全策略决策的同一检查流水线生成增强的流量数据。 这使管理员通过CMA、支持的集成和Cato API在站点、用户、应用程序和访问权限策略之间获得集中可见性。
CMA使用与您在CMA中配置和监控的相同Cato对象和实体进行Cato流量数据的本地分析。 这有助于您在原始上下文中调查流量,包括站点、用户、应用程序、防火墙规则和网络规则。
CMA为支持的平台提供即用型集成,例如Splunk的Cato应用程序。 此集成使您能够使用结构化的Cato字段和仪表板在Splunk中分析Cato流量和事件数据。 这可以帮助安全和网络团队在他们的Splunk环境中关联Cato数据与其他遥测数据。
Cato支持其他方法以向外部系统发送或检索与流量相关的数据。 可用的数据、字段和行为可能会根据集成方法而有所不同。
Cato可以将事件和流量相关数据推送到外部系统。 使用此选项,当您需要将Cato数据导入SIEM、存储数据以供合规或保留,或将Cato数据与其他遥测来源相关联时。
SIEM集成使您能够将Cato数据导入第三方安全分析平台。 这些集成可以帮助安全团队将Cato事件和流量相关数据与其他安全遥测数据一起分析。
有关更多信息,请参阅相关的SIEM集成文档。
Cato可以将数据推送到云存储,以便外部工具进行导入或用于保留工作流程。 支持的云存储目的地包括:
然后,外部工具可以从云存储目的地检索数据进行分析、报告或存档工作流程。
您可以使用Cato GraphQL API查询数据以用于自定义仪表板、自动化、报告和调查。 当您需要以编程方式访问未被本地页面或支持的集成覆盖的工作流程时,此选项非常有用。
有关更多信息,请参阅什么是Cato API。
0 条评论
请登录写评论。