Les organisations qui stockent et gèrent des données d’événement dans un bucket AWS S3 peuvent configurer leur compte Cato pour téléverser automatiquement et continuellement les événements.
Cette intégration envoie continuellement les événements directement du Cato Cloud vers le bucket S3, contrairement à l'API eventsFeed, qui nécessite de récupérer les données depuis Cato et peut être affectée par la limitation de débit.
Le Cato Cloud téléverse des données vers le bucket S3 toutes les 60 secondes, ou lorsque plus de 9,5 Mo de données non compressées sont accumulées. Les données sont transférées de manière sécurisée via HTTPS.
Les événements sont téléversés dans un format compressé .GZ. Certains clients, comme certains navigateurs, peuvent automatiquement décompresser ces fichiers sans supprimer l'extension .GZ. Si cela se produit, changer l'extension de fichier en LOG ou TXT alignera correctement le format du fichier avec son extension.
L'entreprise exemple utilise la fonctionnalité de Surveillance d'activité suspecte IPS, qui génère un grand volume d'événements de sécurité. Ils décident de créer un compartiment AWS S3 pour stocker toutes les données d'événements, qu'ils peuvent ensuite intégrer à leur solution SIEM. L'entreprise exemple active l'intégration des événements et ajoute le bucket S3 comme intégration à leur compte Cato afin que tous les événements IPS soient automatiquement téléversés vers le bucket S3.
- Passez en revue les prérequis pour toutes les intégrations d'événements Cato dans Premiers pas avec les intégrations d'événements
Créez un bucket S3 et définissez une politique IAM qui autorise Cato à téléverser des données d'événements vers celui-ci. Ensuite, créez un rôle IAM avec l'ARN du rôle de Cato et attachez la politique au rôle.
Le Cato Cloud téléverse des données vers le bucket S3 toutes les 60 secondes, ou lorsque plus de 9,5 Mo de données non compressées sont accumulées. Selon différents facteurs, les données peuvent parfois être téléversées avant d'atteindre 9,5 Mo.
Cato utilise HTTPS pour télécharger des données vers le bucket S3.
Remarque
Remarques :
- Seules les régions pour les buckets S3 où le Service de Jeton de Sécurité (STS) est actif sont prises en charge. Pour plus d'informations sur l'activation de STS pour une région, voir la documentation AWS.
- La région Chine S3 n'est pas prise en charge.
Pour configurer un compartiment S3 dans AWS pour recevoir des données d'événements Cato :
-
Créez un nouveau compartiment S3 avec la Région AWS appropriée.
- Créez une nouvelle politique IAM pour le compartiment S3 qui permet le téléchargement de données dans le compartiment.
-
Dans la politique, cliquez sur l'onglet JSON, et copiez le JSON Cato ci-dessous.
Éditez le JSON et ajoutez le nom pour le compartiment S3, puis collez-le dans l'onglet.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Autoriser", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<nom du seau>" ] }, { "Sid": "", "Effect": "Autoriser", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<nom du seau>/*" ] } ] } -
Examinez les paramètres de la politique et cliquez sur Créer politique.
-
Créez un nouveau rôle IAM avec l'ARN de Cato pour permettre à Cato de téléverser des événements pour votre compte dans le bucket S3.
-
Sur la page Sélectionner entité de confiance, ajoutez l'ARN de Cato au rôle:
arn:aws:iam::428465470022:role/cato-events-integration{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::428465470022:role/cato-events-integration" }, "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}}, "Action": "sts:AssumeRole" } ] }Cliquez sur Suivant.
-
Sur la page Ajouter des autorisations, attachez la politique que vous avez créée précédemment au rôle.
Cliquez sur Suivant.
- Entrez le Nom du rôle et cliquez sur Créer rôle.
Le compartiment AWS S3 est prêt à s'intégrer à votre compte Cato.
-
Créez une nouvelle intégration pour le bucket AWS S3 dans l'onglet Intégration des événements, et ajoutez l'ARN du rôle à l'intégration. Cet ARN donne à Cato la permission de télécharger les données d'événements dans le compartiment S3.
Après avoir défini et activé l'intégration AWS S3, cela prend quelques minutes pour que Cato commence à télécharger des événements dans le compartiment S3.
Vous pouvez filtrer les événements qui sont téléversés vers le bucket S3 par type ou sous-type d'événement. Par exemple, vous pouvez téléverser uniquement les événements IPS pour votre compte. Par défaut, aucun filtre n'est appliqué, et tous les événements sont téléversés vers le bucket S3.
Pour ajouter une intégration de compartiment AWS S3 pour télécharger des événements pour votre compte :
- Dans le menu de navigation, sélectionnez Ressources > Intégrations d'Événements.
- Sélectionnez Activer l'intégration avec les événements Cato.
- Cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
- Configurez les paramètres pour l'intégration du compartiment S3 :
- Entrez le Nom pour l'intégration.
-
Entrez ces Détails de Connexion pour l'intégration selon les paramètres dans AWS :
- Nom du Bucket - Nom exact du bucket S3
- Dossier - Chemin du dossier à l'intérieur du bucket S3, si nécessaire
-
Région - Région où le bucket S3 est hébergé
Remarque : Seules les régions pour les buckets S3 où le Service de Jeton de Sécurité (STS) est actif sont prises en charge.
-
ARN du Rôle - Copiez et collez l'ARN pour le rôle pour le compartiment S3
-
(Optionnel) Définissez les paramètres de filtre pour les événements qui sont téléchargés dans le compartiment S3.
Lorsque vous définissez plusieurs filtres, il y a une relation AND, et les événements qui correspondent à tous les filtres sont téléchargés.
-
Cliquez sur Appliquer. Le compartiment AWS S3 est maintenant intégré à votre compte.
Note : Vous pouvez définir jusqu'à trois intégrations d'événements pour votre compte.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.