コンテンツにスキップ

Cato Networksインテグレーションガイド🔗

以下の手順は、Cato Networksを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。

インテグレーションから提供されるデータ🔗

以下のCato NetworksイベントタイプがXDRでサポートされています。

  • Anti Malware
  • Internet Firewall
  • WAN Firewall
  • IPS

注意

上記に記載されていないCato Networksイベントタイプは、genericスキーマに正規化されます。

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cato Networks Antivirus、Auth、DHCP、Thirdparty Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Catoプラットフォームの設定:S3へのログ送信🔗

こちらのCatoドキュメントに従い、syslogをS3バケットへ転送する設定を行ってください。

お客様のAWS環境でXDR Lambda関数をデプロイ🔗

Cato NetworksのログをS3バケットからXDRへ送信するLambda関数のデプロイ手順に従ってください。

注意

上記手順ではCloudTrailを参照していますが、S3からXDRへログを送信する仕組みはデータソースに依存しません。手順内のすべてのステップを必ず実施してください。

クエリ言語を用いた詳細検索🔗

クエリ言語検索例🔗

過去24時間のthirdpartyイベントを検索する場合:

FROM thirdparty WHERE sensor_type = 'Cato Networks' and EARLIEST=-24h

netflowイベントを検索する場合:

FROM netflow WHERE sensor_type = 'Cato Networks'

Cato NetworksでHighに分類されたイベントを検索する場合:

WHERE sensor_type = 'Cato Networks' AND vendor_severity = 'High'

特定の送信元IPアドレスからのantivirusイベントを検索する場合:

FROM antivirus WHERE sensor_type = 'Cato Networks' AND source_address = '10.10.10.10'

イベント詳細🔗

Cato Networksイベント詳細

サンプルログ🔗

Cato WAN Firewallイベント🔗

{"time_str":"2024-02-21T04:57:21Z","time":1708534641652,"event_count":1,"http_host_name":"api.example.com","ISP_name":"ACME Co.","rule":"Example_HTTP/HTTPS_Allow","src_isp_ip":"10.10.10.10","src_site":"AAA","src_ip":"10.90.10.10","internalId":"1ab234567890c1","domain_name":"api.example.com","event_type":"Security","src_country_code":"JP","action":"Monitor","categories":["Network Utilities","Business Information"],"subnet_name":"To AAA_10.90.10.0/24","dest_user_id":-1,"pop_name":"Atlantis","dest_port":443,"rule_name":"Example_HTTP/HTTPS_Allow","event_sub_type":"Internet Firewall","ad_name":"Unidentified","insertionDate":1708534705403,"dest_country_code":"US","ip_protocol":"TCP","rule_id":"20000","src_is_site_or_vpn":"Site","account_id":9999,"application":"Cato Management Application","src_site_name":"AAA","src_country":"Atlantis","user_id":-1,"dest_ip":"192.168.1.90","os_type":"OS_LINUX","app_stack":["TCP","TLS","HTTP(S)","Cato Management Application"],"dest_country":"United States"}