Cato Networks のログを収集する

このドキュメントでは、AWS S3 を使用して Cato Networks ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず一連のフィールドを空の文字列に初期化してから、JSON 形式の Cato Networks ログを解析します。次に、抽出されたフィールドを Google SecOps 統合データモデル（UDM）モデルの対応するフィールドにマッピングし、さまざまなイベントタイプを処理して、追加のコンテキストでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認してください。

• Google SecOps インスタンス
• AWS S3、AWS IAM への特権アクセス
• Cato Networks への特権アクセス

AWS IAM と S3 バケットを構成する

1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
2. バケットの名前とリージョンを保存しておきます。
3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
4. 作成したユーザーを選択します。
5. [セキュリティ認証情報] タブを選択します。
6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
7. [ユースケース] で [サードパーティ サービス] を選択します。
8. [次へ] をクリックします。
9. 省略可: 説明タグを追加します。
10. [アクセスキーを作成] をクリックします。
11. [CSV ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、今後の参照に備えます。
12. [完了] をクリックします。
13. [権限] タブを選択します。
14. [権限ポリシー] セクションで [権限を追加] をクリックします。
15. [権限を追加] を選択します。
16. [ポリシーを直接アタッチする] を選択します。
17. AmazonS3FullAccess ポリシーを検索して選択します。
18. [次へ] をクリックします。
19. [権限を追加] をクリックします。

データ アップロードを有効にするために S3 バケットの新しい IAM ポリシーを構成する

1. [ポリシー] で、[JSON] タブをクリックします。

2. 次の JSON を編集し、<bucket name> を S3 バケットに置き換えてから、タブに貼り付けます。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>"
               ]
           },
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>/*"
               ]
           }
       ]
   }
   

3. [ポリシーを作成] をクリックします。

Cato の ARN を使用して新しい IAM ロールを構成する

1. [信頼できるエンティティの選択] 画面で、[カスタム信頼ポリシー] を選択し、Cato の ARN をロールに追加します。arn:aws:iam::428465470022:role/cato-events-integration

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

2. [次へ] をクリックします。

3. [権限を追加] 画面で、前に作成したポリシーをロールに適用します。

4. [次へ] をクリックします。

5. [ロール名] を入力し、[ロールを作成] をクリックします。

Cato Networks Events と S3 の統合を構成する

1. Cato Networks のウェブ UI にログインします。
2. [リソース] > [イベント統合] に移動します。
3. [Enable integration with Cato events] をクリックします。
4. [New] をクリックします。
5. 次の構成の詳細を入力します。
   • 統合の名前を入力します。
   • バケット名: S3 バケットと同じ名前。
   • フォルダ: S3 バケット内のフォルダパスの同じ名前（必要な場合）。
   • リージョン: S3 バケットと同じリージョン。
   • ロール ARN: S3 バケットのロールの ARN をコピーして貼り付けます。
   • （省略可）S3 バケットにアップロードされるイベントのフィルタ設定を定義します（複数のフィルタを定義すると、AND 関係になり、すべてのフィルタに一致するイベントがアップロードされます）。
6. [適用] をクリックします。

フィードを設定する

フィードを構成する手順は次のとおりです。

1. [SIEM 設定] > [フィード] に移動します。
2. [Add New Feed] をクリックします。
3. 次のページで [単一のフィードを設定] をクリックします。
4. [フィード名] フィールドに、フィードの名前を入力します（例: Cato Logs）。
5. [ソースタイプ] として [Amazon S3 V2] を選択します。
6. [ログタイプ] として [Cato Networks] を選択します。
7. [次へ] をクリックします。

8. 次の入力パラメータの値を指定します。

   • S3 URI: バケット URI（形式は s3://<your-log-bucket-name> にする必要があります）。次の項目を置き換えます。

     • your-log-bucket-name: バケットの名前。

   • Source deletion options: 必要に応じて削除オプションを選択します。

9. [次へ] をクリックします。

10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。