Recolha registos da Cato Networks

Este documento explica como ingerir registos da Cato Networks no Google Security Operations através do AWS S3. O analisador inicializa primeiro um conjunto de campos com strings vazias e, em seguida, analisa os registos da Cato Networks formatados em JSON. Em seguida, mapeia os campos extraídos para os campos correspondentes no modelo de dados unificado (UDM) do Google SecOps, processando diferentes tipos de eventos e enriquecendo os dados com contexto adicional.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Acesso privilegiado ao AWS S3 e ao AWS IAM
• Acesso privilegiado à Cato Networks

Configure o AWS IAM e o contentor do S3

1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
2. Guarde o Nome e a Região do contentor para referência futura.
3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione uma etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para referência futura.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente.
17. Pesquise a política AmazonS3FullAccess e, de seguida, selecione-a.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Configure uma nova política IAM para o contentor do S3 para ativar os carregamentos de dados

1. Em Política, clique no separador JSON.

2. Edite o seguinte JSON, substitua <bucket name> pelo seu contentor do S3 e, em seguida, cole-o no separador.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>"
               ]
           },
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>/*"
               ]
           }
       ]
   }
   

3. Clique em Criar política.

Configure uma nova função do IAM com o ARN do Cato

1. No ecrã Selecionar entidade fidedigna, selecione Política de fidedignidade personalizada e adicione o ARN da Cato à função: arn:aws:iam::428465470022:role/cato-events-integration

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

2. Clicar em Seguinte.

3. No ecrã Adicionar autorizações, anexe a política que criou anteriormente à função.

4. Clicar em Seguinte.

5. Introduza o Nome da função e clique em Criar função.

Configure a integração do Cato Networks Events e do S3

1. Inicie sessão na IU Web da Cato Networks.
2. Aceda a Recursos > Integrações de eventos.
3. Clique em Ativar integração com eventos do Cato.
4. Clique em Novo.
5. Indique os seguintes detalhes de configuração:
   • Introduza o nome da integração.
   • Nome do contentor: nome idêntico do contentor do S3.
   • Pasta: nome idêntico para o caminho da pasta no contentor do S3 (se necessário).
   • Região: região idêntica para o contentor do S3.
   • ARN da função: copie e cole o ARN da função para o contentor do S3.
   • (Opcional) Defina as definições de filtro para eventos carregados para o contentor do S3 (quando define vários filtros, existe uma relação AND e os eventos que correspondem a todos os filtros são carregados).
6. Clique em Aplicar.

Configure feeds

Para configurar um feed, siga estes passos:

1. Aceda a Definições do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na página seguinte, clique em Configurar um único feed.
4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Cato Logs).
5. Selecione Amazon S3 V2 como o Tipo de origem.
6. Selecione Cato Networks como o Tipo de registo.
7. Clicar em Seguinte.

8. Especifique valores para os seguintes parâmetros de entrada:

   • URI do S3: o URI do contentor (o formato deve ser: s3://<your-log-bucket-name>). Substitua o seguinte:

     • your-log-bucket-name: o nome do segmento.

   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.

9. Clicar em Seguinte.

10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.