دمج أحداث Cato مع AWS S3

نظرة عامة على تكامل أحداث Amazon S3

يمكن للمؤسسات التي تخزن وتدير بيانات الأحداث في دلو S3 في AWS تكوين حساب Cato الخاص بها لرفع الأحداث تلقائيًا وباستمرار إليه. 

الدعم المستمر من Cato Cloud لمجموعة الأحداث مباشرة إلى دلو S3، على عكس واجهة برمجة التطبيقات eventsFeed التي تتطلب سحب البيانات من Cato ويمكن أن تتأثر بتحديد المعدل.

يقوم Cato Cloud برفع البيانات إلى دلو S3 كل 60 ثانية، أو عندما تتجاوز البيانات الغير مضغوطة 9.5 ميجابايت. يتم نقل البيانات بأمان عبر HTTPS.

تُرفع الأحداث بتنسيق .GZ مضغوط. قد تقوم بعض العملاء، مثل بعض المتصفحات، بفك ضغط هذه الملفات تلقائيًا دون إزالة امتداد .GZ. إذا حدث ذلك، فإن تغيير امتداد الملف إلى LOG أو TXT سيؤدي إلى تطابق تنسيق الملف مع امتداده بشكل صحيح.

حالة استخدام تكامل الأحداث

تستخدم الشركة النموذجية ميزة مراقبة النشاط المشتبه فيه باستخدام IPS التي تولد العديد من الأحداث الأمنية. يقررون إنشاء دلو AWS S3 لتخزين جميع بيانات الحدث، التي يمكنهم دمجها فيما بعد مع حل SIEM الخاص بهم. تمكن الشركة النموذجية دمج الأحداث وتضيف دلو S3 كتكامل إلى حساب Cato الخاص بهم بحيث يتم تحميل جميع أحداث IPS تلقائيًا إلى دلو S3.

المتطلبات المسبقة

تكوين AWS S3 Bucket

أنشئ دلو S3 وحدد سياسة IAM تسمح لـ Cato برفع البيانات الأحداث إليها. ثم أنشئ دور IAM مع ARN لدور Cato واربط السياسة بالدور.

يرفع Cato Cloud البيانات إلى دلو S3 كل 60 ثانية، أو عندما تتجاوز البيانات الغير مضغوطة 9.5 ميجابايت. اعتمادًا على العوامل المختلفة، يمكن أحيانًا رفع البيانات قبل أن تصل إلى 9.5 ميجابايت.

يستخدم Cato HTTPS لتحميل البيانات إلى دلو S3.

ملاحظة

ملاحظات:

  • فقط المناطق الخاصة بدلاء S3 حيث تكون خدمة الرمز الأمني نشطة مدعومة. لمزيد من المعلومات حول تمكين خدمة الرمز الآمني لمناطق معينة، انظر وثائق AWS.
  • منطقة S3 الصينية غير مدعومة.

لتكوين دلو S3 في AWS لتلقي بيانات أحداث Cato:

  1. أنشئ دلو S3 جديدًا باستخدام منطقة AWS المناسبة.

    1-create_bucket.png
  2. أنشئ سياسة IAM جديدة لدلو S3 تسمح بتحميل البيانات إلى الدلو.

  3. في السياسة، انقر فوق علامة تبويب JSON، ونسخ JSON الخاص بـ Cato أدناه.

    حرر JSON وأضف اسم دلو S3، ثم الصقه في علامة التبويب.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-create_policy.png

  4. راجع الإعدادات للسياسة ثم انقر على إنشاء سياسة.

    3-name_policy.png

  5. قم بإنشاء دور IAM جديد باستخدام ARN الخاص بـ Cato للسماح لـ Cato بتحميل الأحداث لحسابك إلى bucket S3.

    1. في صفحة اختر كيان موثوق، أضف ARN الخاص بـ Cato إلى الدور: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-create_role.png

      انقر التالي.

    2. في صفحة إضافة أذونات، اربط السياسة التي أنشأتها سابقًا بالدور.

      5-attach_policy.png

      انقر التالي.

    3. أدخل اسم الدور وانقر إنشاء الدور.

    دلو AWS S3 جاهز الآن للدمج مع حساب Cato الخاص بك.

    aws_done.png

إضافة تكامل حدث لأمازون S3

قم بإنشاء تكامل جديد لدلو AWS S3 في علامة التبويب تكامل الأحداث، وأضف Role ARN إلى التكامل. هذا ARN يمنح Cato الإذن لتحميل بيانات الحدث إلى دلو S3. 

بعد تعريف وتفعيل تكامل AWS S3، يستغرق الأمر بضع دقائق ليبدأ Cato في تحميل الأحداث إلى دلو S3.

يمكنك تصفية الأحداث التي يتم تحميلها إلى دلو S3 حسب نوع الحدث أو النوع الفرعي. على سبيل المثال، يمكنك تحميل فقط أحداث IPS لحسابك. بشكل افتراضي، لا يتم تطبيق أي فلتر ويتم تحميل جميع الأحداث إلى دلو S3.

EventIntegration.png

لإضافة تكامل دلو AWS S3 لتحميل الأحداث لحسابك:

  1. من قائمة التنقل، اختر الموارد > دمج الأحداث.
  2. اختر تمكين التكامل مع أحداث Cato.
  3. انقر جديد. تفتح نافذة تكامل جديد.
  4. قم بتكوين الإعدادات لتكامل دلو S3:
    1. أدخل الاسم للتكامل.

    2. أدخل تفاصيل الاتصال للتكامل بناءً على الإعدادات في AWS:

      • اسم الدلو - الاسم الدقيق لدلو S3
      • مجلد - مسار المجلد داخل دلو S3، إذا لزم الأمر

      • المنطقة - المنطقة التي يستضيف فيها دلو S3

        ملاحظة: تدعم فقط المناطق الخاصة بـ S3 buckets حيث تكون خدمة الرمز الأمني (STS) نشطة.

      • دور ARN - نسخ ولصق ARN للدور لدلو S3

        copyAWS_ARN.png

    3. (اختياري) حدد إعدادات الفلترة للأحداث التي يتم تحميلها إلى دلو S3.

      عند تحديد مرشحات متعددة، هناك علاقة AND، ويتم تحميل الأحداث التي تتوافق مع جميع المرشحات.

  5. انقر تطبيق. دلو AWS S3 مدمج الآن مع حسابك.

    ملاحظة: يمكنك تحديد تصل إلى ثلاثة تكاملات للأحداث لحسابك.

هل كان هذا المقال مفيداً؟

3 من 4 وجدوا هذا مفيداً

لا توجد تعليقات