Recopila registros de Cato Networks

En este documento, se explica cómo transferir registros de Cato Networks a Google Security Operations con AWS S3. Primero, el analizador inicializa un conjunto de campos en cadenas vacías y, luego, analiza los registros de Cato Networks con formato JSON. Luego, asigna los campos extraídos a los campos correspondientes en el modelo de datos unificado (UDM) de Google SecOps, controla diferentes tipos de eventos y enriquece los datos con contexto adicional.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Acceso con privilegios a AWS S3 y AWS IAM
• Acceso privilegiado a Cato Networks

Configura IAM de AWS y el bucket de S3

1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
2. Guarda el Nombre y la Región del bucket para referencia futura.
3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
4. Selecciona el usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
7. Selecciona Servicio de terceros como Caso de uso.
8. Haz clic en Siguiente.
9. Opcional: Agrega una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Agregar permisos en la sección Políticas de permisos.
15. Selecciona Agregar permisos.
16. Selecciona Adjuntar políticas directamente.
17. Busca la política AmazonS3FullAccess y, luego, selecciónala.
18. Haz clic en Siguiente.
19. Haz clic en Agregar permisos.

Configura una política de IAM nueva para el bucket de S3 y habilita las cargas de datos

1. En Política, haz clic en la pestaña JSON.

2. Edita el siguiente JSON, reemplaza <bucket name> por tu bucket de S3 y, luego, pégalo en la pestaña.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>"
               ]
           },
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>/*"
               ]
           }
       ]
   }
   

3. Haz clic en Crear política.

Configura un rol de IAM nuevo con el ARN de Cato

1. En la pantalla Selecciona una entidad de confianza, selecciona Política de confianza personalizada y agrega el ARN de Cato al rol: arn:aws:iam::428465470022:role/cato-events-integration

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

2. Haz clic en Siguiente.

3. En la pantalla Agregar permisos, adjunta la política que creaste antes al rol.

4. Haz clic en Siguiente.

5. Ingresa el Nombre del rol y haz clic en Crear rol.

Configura la integración de eventos y S3 de Cato Networks

1. Accede a la IU web de Cato Networks.
2. Ve a Recursos > Integraciones de eventos.
3. Haz clic en Habilitar la integración con eventos de Cato.
4. Haz clic en Nuevo.
5. Proporciona los siguientes detalles de configuración:
   • Ingresa el Nombre de la integración.
   • Nombre del bucket: Es el mismo nombre del bucket de S3.
   • Folder: Nombre idéntico para la ruta de la carpeta dentro del bucket de S3 (si es necesario).
   • Región: Es la misma región para el bucket de S3.
   • ARN del rol: Copia y pega el ARN del rol para el bucket de S3.
   • (Opcional) Define la configuración del filtro para los eventos que se suben al bucket de S3 (cuando defines varios filtros, hay una relación AND, y se suben los eventos que coinciden con todos los filtros).
6. Haz clic en Aplicar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds

• Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

1. Ve a SIEM Settings > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Cato Logs).
5. Selecciona Amazon S3 como el Tipo de fuente.
6. Selecciona Cato Networks como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • Región: Es la región en la que se encuentra el bucket de Amazon S3.
   • URI de S3: Es el URI del bucket (el formato debe ser s3://<your-log-bucket-name>). Reemplaza lo siguiente:
     • your-log-bucket-name: el nombre del bucket.
   • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
   • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
   • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
   • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

• Región: Es la región en la que se encuentra el bucket de Amazon S3.

  • URI de S3: Es el URI del bucket (el formato debe ser s3://<your-log-bucket-name>). Reemplaza lo siguiente:
    • your-log-bucket-name: el nombre del bucket.
  • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
  • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
  • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

Opciones avanzadas

• Nombre del feed: Es un valor completado previamente que identifica el feed.
• Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
• Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
• Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.