Cet article explique comment intégrer un compartiment Amazon Web Service (AWS) S3 avec votre compte Cato pour télécharger directement des événements dans un compartiment S3.
Pour les clients qui examinent et analysent les données d'événements dans un bucket AWS S3, vous pouvez configurer votre compte Cato pour téléverser automatiquement et en continu des événements dans le bucket. Ceci est différent de l'événementsFeed API, qui exige que les clients téléchargent les données de Cato et est impacté par des problèmes tels que la limitation de débit.
Les événements sont envoyés dans un format GZ compressé, certains clients (par exemple, certains navigateurs) peuvent décompresser automatiquement ces fichiers sans retirer l'extension GZ. Si cela se produit, changer l'extension de fichier en LOG ou TXT alignera correctement le format du fichier avec son extension.
L'entreprise exemple utilise la fonction de Surveillance d'activité suspecte IPS, qui génère beaucoup d'événements de sécurité. Ils décident de créer un compartiment AWS S3 pour stocker toutes les données d'événements, qu'ils peuvent ensuite intégrer à leur solution SIEM. L'entreprise exemple active l'Intégration des événements et ajoute le bucket S3 comme intégration à leur compte Cato afin que tous les événements IPS soient automatiquement téléchargés vers le bucket S3.
- Veuillez consulter les prérequis pour toutes les intégrations d'événements Cato dans Démarrer avec les Intégrations d'Événements
Créez un nouveau compartiment S3 et définissez la politique qui lui permet de recevoir des données. Ensuite, définissez le rôle IAM pour le bucket S3 avec l'ARN du rôle de Cato pour régler les autorisations du bucket afin de permettre à Cato de télécharger des données vers le bucket.
Le Cloud Cato téléverse des données dans le bucket S3 de cette manière, toutes les 60 secondes, ou lorsqu'il y a plus de 9,5 Mo de données non compressées (en raison de différents facteurs, parfois les données sont téléversées avec moins de données non compressées).
Cato utilise HTTPS pour télécharger des données vers le bucket S3.
Remarque
Remarques :
- Seules les régions pour les buckets S3 où le Service de Jeton de Sécurité (STS) est actif sont prises en charge. Pour plus d'informations sur l'activation de STS pour une région, voir la documentation AWS.
- La région Chine S3 n'est pas prise en charge.
Pour configurer un compartiment S3 dans AWS pour recevoir des données d'événements Cato :
-
Créez un nouveau compartiment S3 avec la Région AWS appropriée.
- Créez une nouvelle politique IAM pour le compartiment S3 qui permet le téléchargement de données dans le compartiment.
-
Dans la politique, cliquez sur l'onglet JSON, et copiez le JSON Cato ci-dessous.
Éditez le JSON et ajoutez le nom pour le compartiment S3, puis collez-le dans l'onglet.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Autoriser", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<nom du seau>" ] }, { "Sid": "", "Effect": "Autoriser", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<nom du seau>/*" ] } ] } -
Examinez les paramètres de la politique et cliquez sur Créer politique.
-
Créez un nouveau rôle IAM avec l'ARN de Cato pour permettre à Cato de téléverser des événements pour votre compte dans le bucket S3.
-
Dans l'écran Sélectionner une entité de confiance, ajoutez l'ARN de Cato au rôle :
arn:aws:iam::428465470022:role/cato-events-integration{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::428465470022:role/cato-events-integration" }, "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}}, "Action": "sts:AssumeRole" } ] }Cliquez sur Suivant.
-
Dans l'écran Ajouter des permissions, attachez la politique que vous avez créée à l'étape 4 au rôle.
Cliquez sur Suivant.
- Entrez le Nom du rôle et cliquez sur Créer rôle.
Le compartiment AWS S3 est prêt à s'intégrer à votre compte Cato.
-
Créez une nouvelle intégration pour le compartiment AWS S3 dans l'onglet Intégrations d'Événements et ajoutez l'ARN du rôle à l'intégration. Cet ARN donne à Cato la permission de télécharger les données d'événements dans le compartiment S3. Après avoir défini et activé l'intégration AWS S3, cela prend quelques minutes pour que Cato commence à télécharger des événements dans le compartiment S3.
Vous pouvez choisir de filtrer les événements qui sont téléversés dans le bucket S3. Par exemple, ne téléchargez que les événements IPS de votre compte dans le compartiment S3. Le paramètre par défaut est sans filtre, et tous les événements sont téléversés dans le bucket S3.
Pour ajouter une intégration de compartiment AWS S3 pour télécharger des événements pour votre compte :
- Dans le menu de navigation, sélectionnez Ressources > Intégrations d'Événements.
- Sélectionnez Activer l'intégration avec les événements Cato.
- Cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
- Configurez les paramètres pour l'intégration du compartiment S3 :
- Entrez le Nom pour l'intégration.
-
Entrez ces Détails de Connexion pour l'intégration selon les paramètres dans AWS :
- Nom du Compartiment - Nom identique du compartiment S3
- Dossier - Nom identique pour le chemin du dossier dans le compartiment S3 (si nécessaire)
-
Région - Région identique pour le compartiment S3
Remarque : Seules les régions pour les buckets S3 où le Service de Jeton de Sécurité (STS) est actif sont prises en charge.
-
ARN du Rôle - Copiez et collez l'ARN pour le rôle pour le compartiment S3
-
(Optionnel) Définissez les paramètres de filtre pour les événements qui sont téléchargés dans le compartiment S3.
Lorsque vous définissez plusieurs filtres, il y a une relation AND, et les événements qui correspondent à tous les filtres sont téléchargés.
-
Cliquez sur Appliquer. Le compartiment AWS S3 est maintenant intégré à votre compte.
Remarque : Vous pouvez définir jusqu'à un total de trois Intégrations d'Événements pour votre compte.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.