Integrando Eventos de Cato con AWS S3

Este artículo explica cómo integrar un bucket de Amazon Web Service (AWS) S3 con su cuenta de Cato para subir eventos directamente a un bucket S3.

Resumen de la Integración de Eventos

Para los clientes que revisan y analizan los datos de eventos en un bucket de AWS S3, puedes configurar tu cuenta de Cato para subir automáticamente y continuamente los eventos al bucket. Esto es diferente de la API eventsFeed, que requiere que los clientes extraigan los Datos de Cato y sea afectada por problemas como limitación de tasa.

Los eventos se envían en formato comprimido GZ, algunos clientes (por ejemplo, ciertos navegadores) pueden descomprimir automáticamente estos archivos sin quitar la extensión GZ. Si esto ocurre, cambiar la extensión del archivo a LOG o TXT alineará correctamente el formato del archivo con su extensión.

Caso de Uso de Integración de Eventos

La empresa de ejemplo está usando la función de Monitoreo de Actividad Sospechosa de IPS que genera muchos eventos de seguridad. Deciden crear un bucket AWS S3 para almacenar todos los datos de eventos, que luego pueden integrar con su solución SIEM. La empresa de ejemplo habilita la Integración de Eventos y agrega el bucket S3 como una integración a su cuenta Cato para que todos los eventos de IPS se suban automáticamente al bucket S3.

Requisitos Previos

Por favor revisa los requisitos previos para todas las integraciones de eventos de Cato en Iniciando con Integraciones de Eventos

Configurando el Bucket AWS S3

Cree un nuevo bucket S3 y defina la política que le permite recibir datos. Luego, define el rol IAM para el bucket S3 con el ARN de Rol de Cato para establecer los permisos del bucket que permitan a Cato subir datos al bucket.

La Cato Cloud sube datos al bucket S3 de la siguiente manera, cada 60 segundos, o cuando hay más de 9.5 MB de datos sin comprimir (debido a diferentes factores, a veces los datos se suben con menos datos sin comprimir).

Cato utiliza HTTPS para subir datos al bucket S3.

Nota

Notas:

Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo. Para más información sobre cómo habilitar STS para una región, consulte la documentación de AWS correspondiente.
La región S3 de China no está soportada.

Para configurar un bucket S3 en AWS para recibir datos de eventos de Cato:

Cree un nuevo bucket S3 con la Región AWS apropiada.
Cree una nueva política IAM para el bucket S3 que permita la carga de datos al bucket.

En la política, haz clic en la pestaña JSON y copia el JSON de Cato abajo.

Edite el JSON y añada el nombre para el bucket S3, y luego péguelo en la pestaña.

{
    "Versión": "2012-10-17",
    "Declaración": [
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:PutObject"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}

Revise la configuración para la política y haga clic en Crear política.
Crea un nuevo rol IAM con el ARN de Cato para permitir que Cato suba eventos para tu cuenta al bucket S3.
1. En la pantalla Seleccionar entidad de confianza, añada el ARN de Cato al rol: arn:aws:iam::428465470022:role/cato-events-integration
```
{"Version": "2012-10-17","Statement": [{"Sid": "Statement1","Effect": "Allow","Principal": {"AWS": "arn:aws:iam::428465470022:role/cato-events-integration"},"Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},"Action": "sts:AssumeRole"}]}
```
  Haga clic en Siguiente.
2. En la pantalla Añadir permisos, adjunte la política que creó en el paso 4 al rol.
  
  Haga clic en Siguiente.
3. Ingrese el Nombre del rol y haga clic en Crear rol.
El bucket AWS S3 está listo para integrarse con su cuenta de Cato.

Agregar Integración de Amazon S3 para Eventos

Cree una nueva integración para el bucket AWS S3 en la pestaña Integración de Eventos y añada el ARN del Rol a la integración. Este ARN otorga a Cato el permiso para cargar datos de eventos en el bucket S3. Después de definir y habilitar la integración AWS S3, toma unos minutos para que Cato comience a cargar eventos en el bucket S3.

Puedes elegir filtrar los eventos que se suben al bucket S3. Por ejemplo, solo cargar eventos IPS de su cuenta al bucket S3. La configuración predeterminada no tiene filtro, y todos los eventos se suben al bucket S3.

Para añadir una integración de bucket AWS S3 para cargar eventos de su cuenta:

Desde el menú de navegación, seleccione Recursos > Integraciones de Eventos.
Seleccione Habilitar integración con eventos de Cato.
Haga clic en Nuevo. Se abre el panel Nueva Integración.
Configure la configuración para la integración del bucket S3:
1. Ingrese el Nombre para la integración.
2. Ingrese estos Detalles de Conexión para la integración según la configuración en AWS:
  - Nombre del Bucket - Nombre idéntico del bucket S3
  - Carpeta - Nombre idéntico para la ruta de la carpeta dentro del bucket S3 (si es necesario)
  - Región - Región idéntica para el bucket S3
    
    Nota: Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo.
  - ARN del rol - Copie y pegue el ARN para el rol para el bucket S3
3. (Opcional) Defina la configuración del filtro para los eventos que se cargan en el bucket S3.
  
  Cuando defina múltiples filtros, existe una relación AND, y los eventos que coinciden con todos los filtros se cargan.
Haga clic en Aplicar. El bucket AWS S3 ahora está integrado con su cuenta.

Nota: Puede definir hasta un total de tres Integraciones de Eventos para su cuenta.