دمج أحداث Cato مع AWS S3

تشرح هذه المقالة كيفية دمج دلو Amazon Web Service (AWS) S3 مع حساب Cato الخاص بك لتحميل الأحداث مباشرة إلى دلو S3.

نظرة عامة على تكامل الأحداث

لعملاء الذين يقومون بمراجعة وتحليل بيانات الأحداث في AWS S3 bucket، يمكنك تكوين حساب Cato الخاص بك لتحميل الأحداث تلقائيًا وباستمرار إلى الـ bucket. هذا يختلف عن واجهة برمجة التطبيقات eventsFeed، والتي تتطلب من العملاء استخراج البيانات من Cato وتتأثر بمشاكل مثل الحد الأقصى للمعدلات.

يتم إرسال الأحداث بتنسيق مضغوط GZ، وقد يقوم بعض العملاء (مثل بعض المتصفحات) بفك ضغط هذه الملفات تلقائيًا دون إزالة امتداد GZ. إذا حدث ذلك، فإن تغيير امتداد الملف إلى LOG أو TXT سيؤدي إلى تطابق تنسيق الملف مع امتداده بشكل صحيح.

حالة استخدام تكامل الأحداث

تستخدم الشركة النموذجية ميزة مراقبة النشاط المشتبه فيه باستخدام IPS التي تولد العديد من الأحداث الأمنية. يقررون إنشاء دلو AWS S3 لتخزين جميع بيانات الحدث، التي يمكنهم دمجها فيما بعد مع حل SIEM الخاص بهم. تمكن الشركة النموذجية من تكامل الأحداث وتضيف دلو S3 كتكامل إلى حساب Cato الخاص بهم حتى يتم تحميل جميع أحداث IPS تلقائيًا إلى دلو S3.

المتطلبات المسبقة

تكوين AWS S3 Bucket

أنشئ دلو S3 جديدًا وحدد السياسة التي تسمح له بتلقي البيانات. ثم قم بتعريف دور IAM لدلو S3 باستخدام دور ARN لـ Cato لتعيين أذونات الدلو للسماح لـ Cato بتحميل البيانات إلى الدلو.

يقوم Cato Cloud بتحميل البيانات إلى bucket S3 كما يلي، كل 60 ثانية، أو عند وجود أكثر من 9.5 ميغابايت من البيانات غير المضغوطة (بسبب عوامل مختلفة، قد يتم تحميل البيانات بكمية بيانات أقل غير مضغوطة).

يستخدم Cato HTTPS لتحميل البيانات إلى دلو S3.

ملاحظة

ملاحظات:

  • فقط المناطق الخاصة بدلاء S3 حيث تكون خدمة الرمز الأمني نشطة مدعومة. لمزيد من المعلومات حول تمكين خدمة الرمز الآمني لمناطق معينة، انظر وثائق AWS.
  • منطقة S3 الصينية غير مدعومة.

لتكوين دلو S3 في AWS لتلقي بيانات أحداث Cato:

  1. أنشئ دلو S3 جديدًا باستخدام منطقة AWS المناسبة.

    1-create_bucket.png
  2. أنشئ سياسة IAM جديدة لدلو S3 تسمح بتحميل البيانات إلى الدلو.

  3. في السياسة، انقر فوق علامة تبويب JSON، ونسخ JSON الخاص بـ Cato أدناه.

    حرر JSON وأضف اسم دلو S3، ثم الصقه في علامة التبويب.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-create_policy.png

  4. راجع الإعدادات للسياسة ثم انقر على إنشاء سياسة.

    3-name_policy.png

  5. قم بإنشاء دور IAM جديد باستخدام ARN الخاص بـ Cato للسماح لـ Cato بتحميل الأحداث لحسابك إلى bucket S3.

    1. في شاشة تحديد الكيان الموثوق به، أضف ARN الخاص بـ Cato إلى الدور: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-create_role.png

      انقر التالي.

    2. في شاشة إضافة الأذونات، أرفق السياسة التي أنشأتها في الخطوة 4 إلى الدور.

      5-attach_policy.png

      انقر التالي.

    3. أدخل اسم الدور وانقر إنشاء الدور.

    دلو AWS S3 جاهز الآن للدمج مع حساب Cato الخاص بك.

    aws_done.png

إضافة تكامل Amazon S3 للأحداث

أنشئ تكاملًا جديدًا لدلو AWS S3 في علامة تبويب دمج الأحداث، وأضف دور ARN إلى التكامل. هذا ARN يمنح Cato الإذن لتحميل بيانات الحدث إلى دلو S3. بعد تعريف وتفعيل تكامل AWS S3، يستغرق الأمر بضع دقائق ليبدأ Cato في تحميل الأحداث إلى دلو S3.

يمكنك اختيار تصفية الأحداث التي يتم تحميلها إلى bucket S3. مثال، تحميل أحداث IPS فقط لحسابك إلى دلو S3. الإعداد الافتراضي هو عدم وجود فلتر، وجميع الأحداث تُحمل إلى bucket S3.

EventIntegration.png

لإضافة تكامل دلو AWS S3 لتحميل الأحداث لحسابك:

  1. من قائمة التنقل، اختر الموارد > دمج الأحداث.
  2. اختر تمكين التكامل مع أحداث Cato.
  3. انقر جديد. تفتح نافذة تكامل جديد.
  4. قم بتكوين الإعدادات لتكامل دلو S3:
    1. أدخل الاسم للتكامل.

    2. أدخل تفاصيل الاتصال للتكامل بناءً على الإعدادات في AWS:

      • اسم الدلو - الاسم المطابق لدلو S3
      • المجلد - الاسم المطابق لمسار المجلد داخل دلو S3 (إذا لزم الأمر)

      • المنطقة - المنطقة المطابقة لدلو S3

        ملاحظة: تدعم فقط المناطق الخاصة بـ S3 buckets حيث تكون خدمة الرمز الأمني (STS) نشطة.

      • دور ARN - نسخ ولصق ARN للدور لدلو S3

        copyAWS_ARN.png

    3. (اختياري) حدد إعدادات الفلترة للأحداث التي يتم تحميلها إلى دلو S3.

      عند تحديد مرشحات متعددة، هناك علاقة AND، ويتم تحميل الأحداث التي تتوافق مع جميع المرشحات.

  5. انقر تطبيق. دلو AWS S3 مدمج الآن مع حسابك.

    ملاحظة: يمكنك تعريف حتى ثلاثة تكاملات حدث لحسابك.

هل كان هذا المقال مفيداً؟

3 من 4 وجدوا هذا مفيداً

لا توجد تعليقات