Integrando Eventos de Cato con AWS S3

Resumen de la Integración de Eventos de Amazon S3

Las organizaciones que almacenan y gestionan datos de eventos en un bucket de AWS S3 pueden configurar su cuenta de Cato para subir eventos automáticamente y de forma continua a él.

Esta integración empuja continuamente eventos directamente desde la Nube Cato al bucket S3, a diferencia de la API eventsFeed, que requiere extraer datos de Cato y puede verse afectada por limitación de tasa.

La Nube Cato sube datos al bucket S3 cada 60 segundos, o cuando se acumulan más de 9,5 MB de datos sin comprimir. Los datos son transferidos de forma segura a través de HTTPS.

Los eventos se suben en un formato comprimido .GZ. Algunos clientes, como ciertos navegadores, pueden descomprimir automáticamente estos archivos sin eliminar la extensión .GZ. Si esto ocurre, cambiar la extensión del archivo a LOG o TXT alineará correctamente el formato del archivo con su extensión.

Caso de Uso de Integración de Eventos

La empresa de ejemplo usa la función de Monitoreo de Actividad Sospechosa de IPS, que genera un alto volumen de eventos de seguridad. Deciden crear un bucket AWS S3 para almacenar todos los datos de eventos, que luego pueden integrar con su solución SIEM. La empresa de ejemplo habilita la Integración de Eventos y agrega el bucket S3 como una integración a su cuenta Cato para que todos los eventos IPS se suban automáticamente al bucket S3.

Requisitos Previos

Revise los requisitos previos para todas las integraciones de eventos de Cato en Empezando con las Integraciones de Eventos

Configurando el Bucket AWS S3

Cree un bucket S3 y defina una política IAM que permita a Cato subir datos de eventos a él. Luego, cree un rol IAM con el ARN del rol de Cato y adjunte la política al rol.

La Nube Cato sube datos al bucket S3 cada 60 segundos, o cuando se acumulan más de 9,5 MB de datos sin comprimir. Dependiendo de diferentes factores, los datos a veces pueden ser subidos antes de alcanzar los 9,5 MB.

Cato utiliza HTTPS para subir datos al bucket S3.

Nota

Notas:

Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo. Para más información sobre cómo habilitar STS para una región, consulte la documentación de AWS correspondiente.
La región S3 de China no está soportada.

Para configurar un bucket S3 en AWS para recibir datos de eventos de Cato:

Cree un nuevo bucket S3 con la Región AWS apropiada.
Cree una nueva política IAM para el bucket S3 que permita la carga de datos al bucket.

En la política, haz clic en la pestaña JSON y copia el JSON de Cato abajo.

Edite el JSON y añada el nombre para el bucket S3, y luego péguelo en la pestaña.

{
    "Versión": "2012-10-17",
    "Declaración": [
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:PutObject"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}

Revise la configuración para la política y haga clic en Crear política.
Crea un nuevo rol IAM con el ARN de Cato para permitir que Cato suba eventos para tu cuenta al bucket S3.
1. En la página Seleccionar entidad de confianza, agregue el ARN de Cato al rol: arn:aws:iam::428465470022:role/cato-events-integration
```
{"Version": "2012-10-17","Statement": [{"Sid": "Statement1","Effect": "Allow","Principal": {"AWS": "arn:aws:iam::428465470022:role/cato-events-integration"},"Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},"Action": "sts:AssumeRole"}]}
```
  Haga clic en Siguiente.
2. En la página Agregar permisos, adjunte la política que creó anteriormente al rol.
  
  Haga clic en Siguiente.
3. Ingrese el Nombre del rol y haga clic en Crear rol.
El bucket AWS S3 está listo para integrarse con su cuenta de Cato.

Agregar una Integración de Evento para Amazon S3

Crea una nueva integración para el bucket de AWS S3 en la pestaña Integración de Eventos y agrega el ARN de Rol a la integración. Este ARN otorga a Cato el permiso para cargar datos de eventos en el bucket S3.

Después de definir y habilitar la integración AWS S3, toma unos minutos para que Cato comience a cargar eventos en el bucket S3.

Puedes filtrar los eventos que se suben al bucket S3 por tipo de evento o subtipo. Por ejemplo, puedes subir solo eventos IPS para tu cuenta. Por defecto, no se aplica ningún filtro, y todos los eventos se suben al bucket S3.

Para añadir una integración de bucket AWS S3 para cargar eventos de su cuenta:

Desde el menú de navegación, seleccione Recursos > Integraciones de Eventos.
Seleccione Habilitar integración con eventos de Cato.
Haga clic en Nuevo. Se abre el panel Nueva Integración.
Configure la configuración para la integración del bucket S3:
1. Ingrese el Nombre para la integración.
2. Ingrese estos Detalles de Conexión para la integración según la configuración en AWS:
  - Nombre del Bucket - Nombre exacto del bucket S3
  - Carpeta - Ruta de carpeta dentro del bucket S3, si es necesario
  - Región - Región donde el bucket S3 está alojado.
    
    Nota: Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo.
  - ARN del rol - Copie y pegue el ARN para el rol para el bucket S3
3. (Opcional) Defina la configuración del filtro para los eventos que se cargan en el bucket S3.
  
  Cuando defina múltiples filtros, existe una relación AND, y los eventos que coinciden con todos los filtros se cargan.
Haga clic en Aplicar. El bucket AWS S3 ahora está integrado con su cuenta.

Nota: Puede definir hasta tres Integraciones de Eventos para su cuenta.