Integrando Eventos de Cato con AWS S3

Resumen de la Integración de Eventos

Las organizaciones que almacenan y gestionan datos de eventos en un bucket de AWS S3 pueden configurar su cuenta de Cato para subir eventos automáticamente y de forma continua a él.

Esta integración empuja continuamente los eventos directamente desde la Nube de Cato a la cuenta de almacenamiento, a diferencia de la API eventsFeed, que requiere extraer datos de Cato y puede verse afectada por la limitación de velocidad.

La Nube de Cato sube datos a la cuenta de almacenamiento cada 60 segundos, o cuando se acumulan más de 9.5 MB de datos sin comprimir. Los datos son transferidos de forma segura a través de HTTPS.

Los eventos se suben en un formato comprimido .GZ, algunos clientes (por ejemplo, ciertos navegadores) pueden descomprimir automáticamente estos archivos sin quitar la extensión .GZ. Si esto ocurre, cambiar la extensión del archivo a LOG o TXT alineará correctamente el formato del archivo con su extensión.

Caso de Uso de Integración de Eventos

La empresa de ejemplo está usando la función de Monitoreo de Actividad Sospechosa de IPS que genera muchos eventos de seguridad. Deciden crear un bucket AWS S3 para almacenar todos los datos de eventos, que luego pueden integrar con su solución SIEM. La empresa de ejemplo habilita la Integración de Eventos y agrega el bucket S3 como una integración a su cuenta de Cato para que todos los eventos IPS se suban automáticamente al bucket S3.

Requisitos Previos

Por favor revisa los requisitos previos para todas las integraciones de eventos de Cato en Iniciando con Integraciones de Eventos

Configurando el Bucket AWS S3

Cree un nuevo bucket S3 y defina la política que le permite recibir datos. Luego, define el rol IAM para el bucket S3 con el ARN de Rol de Cato para establecer los permisos del bucket que permitan a Cato subir datos al bucket.

La Cato Cloud sube datos al bucket S3 de la siguiente manera, cada 60 segundos, o cuando hay más de 9.5 MB de datos sin comprimir (debido a diferentes factores, a veces los datos se suben con menos datos sin comprimir).

Cato utiliza HTTPS para subir datos al bucket S3.

Nota

Notas:

Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo. Para más información sobre cómo habilitar STS para una región, consulte la documentación de AWS correspondiente.
La región S3 de China no está soportada.

Para configurar un bucket S3 en AWS para recibir datos de eventos de Cato:

Cree un nuevo bucket S3 con la Región AWS apropiada.
Cree una nueva política IAM para el bucket S3 que permita la carga de datos al bucket.

En la política, haz clic en la pestaña JSON y copia el JSON de Cato abajo.

Edite el JSON y añada el nombre para el bucket S3, y luego péguelo en la pestaña.

{
    "Versión": "2012-10-17",
    "Declaración": [
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Efecto": "Permitir",
            "Acción": [
                "s3:PutObject"
            ],
            "Recurso": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}

Revise la configuración para la política y haga clic en Crear política.
Crea un nuevo rol IAM con el ARN de Cato para permitir que Cato suba eventos para tu cuenta al bucket S3.
1. En la pantalla Seleccionar entidad de confianza, añada el ARN de Cato al rol: arn:aws:iam::428465470022:role/cato-events-integration
```
{"Version": "2012-10-17","Statement": [{"Sid": "Statement1","Effect": "Allow","Principal": {"AWS": "arn:aws:iam::428465470022:role/cato-events-integration"},"Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},"Action": "sts:AssumeRole"}]}
```
  Haga clic en Siguiente.
2. En la pantalla Añadir permisos, adjunte la política que creó en el paso 4 al rol.
  
  Haga clic en Siguiente.
3. Ingrese el Nombre del rol y haga clic en Crear rol.
El bucket AWS S3 está listo para integrarse con su cuenta de Cato.

Agregar una Integración de Evento para Amazon S3

Crea una nueva integración para el bucket de AWS S3 en la pestaña Integración de Eventos y agrega el ARN de Rol a la integración. Este ARN otorga a Cato el permiso para cargar datos de eventos en el bucket S3.

Después de definir y habilitar la integración AWS S3, toma unos minutos para que Cato comience a cargar eventos en el bucket S3.

Puedes filtrar los eventos que se suben al bucket S3 por tipo de evento o subtipo. Por ejemplo, puedes subir solo eventos IPS para tu cuenta. Por defecto, no se aplica ningún filtro, y todos los eventos se suben al bucket S3.

Para añadir una integración de bucket AWS S3 para cargar eventos de su cuenta:

Desde el menú de navegación, seleccione Recursos > Integraciones de Eventos.
Seleccione Habilitar integración con eventos de Cato.
Haga clic en Nuevo. Se abre el panel Nueva Integración.
Configure la configuración para la integración del bucket S3:
1. Ingrese el Nombre para la integración.
2. Ingrese estos Detalles de Conexión para la integración según la configuración en AWS:
  - Nombre del Bucket - Nombre idéntico del bucket S3
  - Carpeta - Nombre idéntico para la ruta de la carpeta dentro del bucket S3 (si es necesario)
  - Región - Región idéntica para el bucket S3
    
    Nota: Solo se admiten regiones para buckets S3 donde el Servicio de Token de Seguridad (STS) está activo.
  - ARN del rol - Copie y pegue el ARN para el rol para el bucket S3
3. (Opcional) Defina la configuración del filtro para los eventos que se cargan en el bucket S3.
  
  Cuando defina múltiples filtros, existe una relación AND, y los eventos que coinciden con todos los filtros se cargan.
Haga clic en Aplicar. El bucket AWS S3 ahora está integrado con su cuenta.

Nota: Puede definir hasta un total de tres Integraciones de Eventos para su cuenta.