Recoger registros de Cato Networks

En este documento se explica cómo ingerir registros de Cato Networks en Google Security Operations mediante AWS S3. El analizador primero inicializa un conjunto de campos en cadenas vacías y, a continuación, analiza los registros de Cato Networks con formato JSON. A continuación, asigna los campos extraídos a los campos correspondientes del modelo de datos unificado (UDM) de Google SecOps, gestiona los distintos tipos de eventos y enriquece los datos con contexto adicional.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Instancia de Google SecOps
• Acceso privilegiado a AWS S3 y AWS IAM
• Acceso privilegiado a Cato Networks

Configurar AWS IAM y el segmento de S3

1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
2. Guarda el nombre y la región del contenedor para consultarlos más adelante.
3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
4. Selecciona el usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
7. Selecciona Servicio de terceros como Caso práctico.
8. Haz clic en Siguiente.
9. Opcional: añade una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Añadir permisos en la sección Políticas de permisos.
15. Selecciona Añadir permisos.
16. Seleccione Adjuntar políticas directamente.
17. Busca la política AmazonS3FullAccess y, a continuación, selecciónala.
18. Haz clic en Siguiente.
19. Haz clic en Añadir permisos.

Configurar una nueva política de gestión de identidades y accesos para un segmento de S3 con el fin de habilitar las subidas de datos

1. En Política, haga clic en la pestaña JSON.

2. Edita el siguiente JSON, sustituye <bucket name> por tu segmento de S3 y, a continuación, pégalo en la pestaña.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>"
               ]
           },
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>/*"
               ]
           }
       ]
   }
   

3. Haz clic en Crear política.

Configurar un nuevo rol de gestión de identidades y accesos con el ARN de Cato

1. En la pantalla Select trusted entity (Seleccionar entidad de confianza), selecciona Custom Trust Policy (Política de confianza personalizada) y añade el ARN de Cato al rol: arn:aws:iam::428465470022:role/cato-events-integration.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

2. Haz clic en Siguiente.

3. En la pantalla Añadir permisos, asigne al rol la política que ha creado anteriormente.

4. Haz clic en Siguiente.

5. Introduce el Nombre del rol y haz clic en Crear rol.

Configurar la integración de eventos y S3 de Cato Networks

1. Inicia sesión en la interfaz de usuario web de Cato Networks.
2. Vaya a Recursos > Integraciones de eventos.
3. Haz clic en Enable integration with Cato events (Habilitar la integración con eventos de Cato).
4. Haz clic en New (Nuevo).
5. Proporcione los siguientes detalles de configuración:
   • Introduce el nombre de la integración.
   • Nombre del segmento: nombre idéntico del segmento de S3.
   • Carpeta: nombre idéntico de la ruta de la carpeta en el segmento de S3 (si es necesario).
   • Región: región idéntica del segmento de S3.
   • ARN del rol: copia y pega el ARN del rol del segmento de S3.
   • (Opcional) Defina los ajustes de filtro de los eventos que se suban al bucket de S3. Si define varios filtros, se relacionarán con el operador lógico AND y se subirán los eventos que coincidan con todos los filtros.
6. Haz clic en Aplicar.

Configurar feeds

Para configurar un feed, sigue estos pasos:

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Añadir feed.
3. En la página siguiente, haga clic en Configurar un solo feed.
4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Cato Logs).
5. Selecciona Amazon S3 V2 como Tipo de fuente.
6. Seleccione Cato Networks como Tipo de registro.
7. Haz clic en Siguiente.

8. Especifique los valores de los siguientes parámetros de entrada:

   • URI de S3: el URI del contenedor (el formato debe ser s3://<your-log-bucket-name>). Sustituye lo siguiente:

     • your-log-bucket-name: el nombre del segmento.

   • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

9. Haz clic en Siguiente.

10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.