Cato घटनाओं को AWS S3 के साथ एकीकृत करना

Amazon S3 इवेंट इंटीग्रेशन का अवलोकन

वे संगठन जो AWS S3 बकेट में घटना डेटा संग्रहीत और प्रबंधित करते हैं, वे अपने Cato खाते को विन्यस्त कर सकते हैं ताकि घटनाओं को स्वचालित रूप से और निरंतर अपलोड किया जा सके। 

यह एकीकरण लगातार इवेंट्स को सीधे Cato क्लाउड से S3 बकेट में भेजता है, जैसा कि eventsFeed API से किया जाता है, जो Cato से डेटा खींचने की आवश्यकता होती है और दर सीमाओं से प्रभावित हो सकता है।

Cato क्लाउड हर 60 सेकंड पर या जब अधिक से अधिक 9.5 MB असंपीड़ित डेटा संचित हो जाता है, तब S3 बकेट में डेटा अपलोड करता है। डेटा को HTTPS के माध्यम से सुरक्षित रूप से स्थानांतरित किया जाता है।

घटनाओं को संपीड़ित .GZ प्रारूप में अपलोड किया जाता है। कुछ क्लाइंट, जैसे कि कुछ ब्राउज़र, इन फाइलों को स्वचालित रूप से डिकंप्रेस कर सकते हैं जबकि .GZ एक्सटेंशन को हटाए बिना। यदि ऐसा होता है, तो फ़ाइल के विस्तार को LOG या TXT में बदलने से फ़ाइल का प्रारूप अपने विस्तार के साथ सही तरीके से मेल खा जाएगा।

Events Integration उपयोग के मामले

उदाहरण कंपनी IPS संदिग्ध गतिविधि निगरानी सुविधा का उपयोग करती है, जो उच्च मात्रा में सुरक्षा घटनाएँ उत्पन्न करती है। वे सभी घटनाओं का डेटा संग्रहित करने के लिए एक AWS S3 बकेट बनाने का निर्णय करते हैं, जिसे वे अपनी SIEM समाधान के साथ एकीकृत कर सकते हैं। उदाहरण कंपनी इवेंट्स एकीकरण सक्षम करती है और S3 बकेट को उनके Cato खाते में एक एकीकरण के रूप में जोड़ती है ताकि सभी IPS घटनाएँ स्वचालित रूप से S3 बकेट में अपलोड हो जाएँ।

पूर्वापेक्षाएँ

  • सभी Cato इवेंट एकीकरणों के लिए आवश्यकताओं की समीक्षा Getting Started with Event Integrations में करें।

AWS S3 बकेट कॉन्फ़िगर कर रहे हैं

एक S3 बकेट बनाएँ और एक IAM नीति परिभाषित करें जो Cato को उसमें इवेंट डेटा अपलोड करने की अनुमति देता है। फिर, Cato के भूमिका ARN के साथ एक IAM भूमिका बनाएँ और भूमिका के साथ नीति संलग्न करें।

Cato क्लाउड हर 60 सेकंड पर या जब 9.5 MB असंपीड़ित डेटा संचित हो जाता है, तब S3 बकेट में डेटा अपलोड करता है। विभिन्न कारकों पर निर्भर, डेटा कभी-कभी उसे 9.5 MB तक पहुँचने से पहले अपलोड किया जा सकता है।

Cato एस3 बकेट में डेटा अपलोड करने के लिए HTTPS का उपयोग करता है।

नोट

नोट:

  • केवल S3 बकेट के क्षेत्र जहां सुरक्षा टोकन सेवा (STS) सक्रिय है, समर्थित हैं। किसी क्षेत्र के लिए STS को सक्षम करने के बारे में अधिक जानकारी के लिए संबंधित AWS प्रलेखन देखें।
  • चीन S3 क्षेत्र समर्थित नहीं है।

Cato घटना डेटा प्राप्त करने के लिए AWS में एक S3 बकेट कॉन्फ़िगर करने के लिए:

  1. उपयुक्त AWS क्षेत्र के साथ एक नया S3 बकेट बनाएं।

    1-निर्माण_बकेट.png
  2. S3 बकेट के लिए एक नई IAM नीति बनाएं जो बकेट में डेटा अपलोड करने की अनुमति देती है।

  3. नीति में, JSON टैब पर क्लिक करें, और नीचे के Cato JSON को कॉपी करें।

    JSON संपादित करें और S3 बकेट के लिए नाम जोड़ें, फिर इसे टैब में पेस्ट करें।

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "अनुमति दें",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "अनुमति दें",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-नीति_बनाएं.png

  4. नीति के लिए सेटिंग्स की समीक्षा करें और नीति बनाएँ क्लिक करें।

    3-नीति_नाम.png

  5. Cato के ARN के साथ एक नया IAM भूमिका बनाएँ ताकि Cato आपके खाते के लिए घटनाएँ S3 बकेट में अपलोड कर सके।

    1. चुनें विश्वसनीय इकाई पृष्ठ में, Cato के ARN को भूमिका में जोड़ें: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-भूमिका_बनाएं.png

      अगला क्लिक करें।

    2. अनुमतियाँ जोड़ें पृष्ठ में, पहले बनाई गई नीति को भूमिका में संलग्न करें।

      5-नीति_संलग्न_करें.png

      अगला क्लिक करें।

    3. भूमिका का नाम दर्ज करें और भूमिका बनाएँ क्लिक करें।

    AWS S3 बकेट आपके Cato खाते के साथ एकीकृत होने के लिए तैयार है।

    "aws_done.png"

Amazon S3 के लिए एकीकरण जोड़ना

Events Integration टैब में AWS S3 बकेट के लिए नया एकीकरण बनाएं, और एकीकरण में भूमिका ARN जोड़ें। यह ARN Cato को इवेंट डेटा S3 बकेट में अपलोड करने की अनुमति देता है। 

AWS S3 एकीकरण को परिभाषित और सक्षम करने के बाद, Cato को S3 बकेट में इवेंट्स अपलोड करना शुरू करने में कुछ मिनट लगते हैं।

आप घटना प्रकार या उपप्रकार द्वारा S3 बकेट में अपलोड की गई घटनाओं को फ़िल्टर कर सकते हैं। उदाहरण के लिए, आप केवल IPS घटनाओं को अपने खाते के लिए अपलोड कर सकते हैं। डिफ़ॉल्ट रूप से, कोई फिल्टर लागू नहीं होता है, और सभी घटनाएँ S3 बकेट में अपलोड की जाती हैं।

फ़लकिया_इंटीग्रेशन.png

अपने खाते के लिए इवेंट्स अपलोड करने के लिए AWS S3 बकेट एकीकरण जोड़ने के लिए:

  1. नेविगेशन मेनू से संसाधन > इवेंट्स एकीकरण चुनें।
  2. Cato घटनाओं के साथ एकीकरण सक्षम करें चुनें।
  3. नया क्लिक करें। नया एकीकरण पैनल खुलता है।
  4. S3 बकेट एकीकरण के लिए सेटिंग्स को कॉन्फ़िगर करें:
    1. एकीकरण के लिए नाम दर्ज करें।

    2. AWS में सेटिंग्स के आधार पर एकीकरण के लिए ये कनेक्शन विवरण दर्ज करें:

      • बकेट नाम - S3 बकेट का सटीक नाम
      • फ़ोल्डर - यदि आवश्यक हो, तो S3 बकेट के भीतर फ़ोल्डर पथ

      • क्षेत्र - क्षेत्र जहाँ S3 बकेट होस्ट किया गया है

        नोट: केवल वे S3 बकेट के क्षेत्र जहां सुरक्षा टोकन सेवा (STS) सक्रिय है, समर्थन करते हैं।

      • भूमिका ARN - S3 बकेट के लिए भूमिका का ARN कॉपी करें और पेस्ट करें

        copyAWS_ARN.png

    3. (वैकल्पिक) उन घटनाओं के लिए फ़िल्टर सेटिंग्स परिभाषित करें जो S3 बकेट में अपलोड की जाती हैं।

      जब आप कई फ़िल्टर परिभाषित करते हैं, तो एक और संबंध होता है, और सभी फिल्टरों से मेल खाने वाली घटनाएं अपलोड की जाती हैं।

  5. लागू करें पर क्लिक करें। AWS S3 बकेट अब आपके खाते के साथ एकीकृत है।

    नोट: आप अपने खाते के लिए अधिकतम तीन इवेंट इंटीग्रेशन को परिभाषित कर सकते हैं।

क्या यह लेख उपयोगी था?

4 में से 3 के लिए उपयोगी रहा

0 टिप्पणियां