Cato घटनाओं को AWS S3 के साथ एकीकृत करना

यह लेख बताता है कि आपके Cato खाते के साथ Amazon Web Service (AWS) S3 बकेट को कैसे एकीकृत करें ताकि सीधे S3 बकेट में घटनाओं को अपलोड किया जा सके।

घटनाओं के एकीकरण का अवलोकन

जो ग्राहक AWS S3 बकेट में घटना डेटा की समीक्षा और विश्लेषण करते हैं, वे अपने Cato खाते को स्वचालित रूप से और लगातार घटनाएं बकेट में अपलोड करने के लिए कॉन्फ़िगर कर सकते हैं। यह eventsFeed API से भिन्न है, जिसमें ग्राहकों के लिए Cato से डेटा खींचना आवश्यक है और जिसकी दर-सीमा जैसी समस्याओं द्वारा प्रभावित होता है।

घटनाएँ कंप्रेस्ड GZ प्रारूप में भेजी जाती हैं, कुछ क्लाइंट्स (उदाहरण के लिए कुछ ब्राउज़र) स्वचालित रूप से इन फाइलों को GZ विस्तार को हटाए बिना डीकंप्रेस कर सकते हैं। यदि ऐसा होता है, तो फ़ाइल के विस्तार को LOG या TXT में बदलने से फ़ाइल का प्रारूप अपने विस्तार के साथ सही तरीके से मेल खा जाएगा।

Events Integration उपयोग के मामले

उदाहरण कंपनी IPS संदिग्ध गतिविधि निगरानी सुविधा का उपयोग कर रही है जो बहुत सारे सुरक्षा ईवेंट उत्पन्न करती है। वे सभी घटनाओं का डेटा संग्रहित करने के लिए एक AWS S3 बकेट बनाने का निर्णय करते हैं, जिसे वे अपनी SIEM समाधान के साथ एकीकृत कर सकते हैं। उदाहरण कंपनी Events Integration को सक्षम करती है और उनके Cato खाते में एस3 बकेट को एकीकरण के रूप में जोड़ती है ताकि सभी IPS इवेंट्स स्वचालित रूप से एस3 बकेट में अपलोड हो सकें।

पूर्वापेक्षाएँ

AWS S3 बकेट कॉन्फ़िगर कर रहे हैं

एक नया S3 बकेट बनाएं और वह नीति निर्धारित करें जो इसे डेटा प्राप्त करने की अनुमति देती है। फिर, बकेट अनुमतियां सेट करने के लिए Cato की भूमिका ARN के साथ एस3 बकेट के लिए IAM भूमिका परिभाषित करें ताकि Cato को बकेट में डेटा अपलोड करने की अनुमति मिले।

Cato क्लाउड निम्नलिखित अनुसार S3 बकेट में डेटा अपलोड करता है: हर 60 सेकंड में या जब 9.5MB से अधिक अनकंप्रेस्ड डेटा हो (विभिन्न कारणों से कभी-कभी डेटा कम अनकंप्रेस्ड डेटा के साथ अपलोड किया जाता है)।

Cato एस3 बकेट में डेटा अपलोड करने के लिए HTTPS का उपयोग करता है।

नोट

नोट:

  • केवल S3 बकेट के क्षेत्र जहां सुरक्षा टोकन सेवा (STS) सक्रिय है, समर्थित हैं। किसी क्षेत्र के लिए STS को सक्षम करने के बारे में अधिक जानकारी के लिए संबंधित AWS प्रलेखन देखें।
  • चीन S3 क्षेत्र समर्थित नहीं है।

Cato घटना डेटा प्राप्त करने के लिए AWS में एक S3 बकेट कॉन्फ़िगर करने के लिए:

  1. उपयुक्त AWS क्षेत्र के साथ एक नया S3 बकेट बनाएं।

    1-निर्माण_बकेट.png
  2. S3 बकेट के लिए एक नई IAM नीति बनाएं जो बकेट में डेटा अपलोड करने की अनुमति देती है।

  3. नीति में, JSON टैब पर क्लिक करें, और नीचे के Cato JSON को कॉपी करें।

    JSON संपादित करें और S3 बकेट के लिए नाम जोड़ें, फिर इसे टैब में पेस्ट करें।

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "अनुमति दें",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "अनुमति दें",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-नीति_बनाएं.png

  4. नीति के लिए सेटिंग्स की समीक्षा करें और नीति बनाएँ क्लिक करें।

    3-नीति_नाम.png

  5. Cato के ARN के साथ एक नया IAM भूमिका बनाएँ ताकि Cato आपके खाते के लिए घटनाएँ S3 बकेट में अपलोड कर सके।

    1. विश्वसनीय इकाई का चयन करें स्क्रीन में, Cato की ARN को भूमिका में जोड़ें: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-भूमिका_बनाएं.png

      अगला क्लिक करें।

    2. अनुमतियाँ जोड़ें स्क्रीन में, चरण 4 में बनाई गई नीति को भूमिका से जुड़ें।

      5-नीति_संलग्न_करें.png

      अगला क्लिक करें।

    3. भूमिका का नाम दर्ज करें और भूमिका बनाएँ क्लिक करें।

    AWS S3 बकेट आपके Cato खाते के साथ एकीकृत होने के लिए तैयार है।

    "aws_done.png"

घटनाओं के लिए Amazon S3 एकीकरण जोड़ना

इवेंट्स एकीकरण टैब में AWS S3 बकेट के लिए एक नया एकीकरण बनाएँ, और एकीकरण में भूमिका ARN जोड़ें। यह ARN Cato को इवेंट डेटा S3 बकेट में अपलोड करने की अनुमति देता है। AWS S3 एकीकरण को परिभाषित और सक्षम करने के बाद, Cato को S3 बकेट में इवेंट्स अपलोड करना शुरू करने में कुछ मिनट लगते हैं।

आप S3 बकेट में अपलोड की गई घटनाओं को फ़िल्टर करने के लिए चुन सकते हैं। उदाहरण के लिए, केवल अपने खाते के IPS इवेंट्स को S3 बकेट में अपलोड करें। डिफ़ॉल्ट सेटिंग कोई फ़िल्टर नहीं होता है, और सभी घटनाएँ S3 बकेट में अपलोड की जाती हैं।

फ़लकिया_इंटीग्रेशन.png

अपने खाते के लिए इवेंट्स अपलोड करने के लिए AWS S3 बकेट एकीकरण जोड़ने के लिए:

  1. नेविगेशन मेनू से संसाधन > इवेंट्स एकीकरण चुनें।
  2. Cato घटनाओं के साथ एकीकरण सक्षम करें चुनें।
  3. नया क्लिक करें। नया एकीकरण पैनल खुलता है।
  4. S3 बकेट एकीकरण के लिए सेटिंग्स को कॉन्फ़िगर करें:
    1. एकीकरण के लिए नाम दर्ज करें।

    2. AWS में सेटिंग्स के आधार पर एकीकरण के लिए ये कनेक्शन विवरण दर्ज करें:

      • बकेट नाम - S3 बकेट का समान नाम
      • फ़ोल्डर - S3 बकेट के अंदर फ़ोल्डर पथ का समान नाम (यदि आवश्यक हो)

      • क्षेत्र - S3 बकेट के लिए समान क्षेत्र

        नोट: केवल वे S3 बकेट के क्षेत्र जहां सुरक्षा टोकन सेवा (STS) सक्रिय है, समर्थन करते हैं।

      • भूमिका ARN - S3 बकेट के लिए भूमिका का ARN कॉपी करें और पेस्ट करें

        copyAWS_ARN.png

    3. (वैकल्पिक) उन घटनाओं के लिए फ़िल्टर सेटिंग्स परिभाषित करें जो S3 बकेट में अपलोड की जाती हैं।

      जब आप कई फ़िल्टर परिभाषित करते हैं, तो एक और संबंध होता है, और सभी फिल्टरों से मेल खाने वाली घटनाएं अपलोड की जाती हैं।

  5. लागू करें पर क्लिक करें। AWS S3 बकेट अब आपके खाते के साथ एकीकृत है।

    नोट: आप अपने खाते के लिए कुल तीन इवेंट एकीकरण तक परिभाषित कर सकते हैं।

क्या यह लेख उपयोगी था?

4 में से 3 के लिए उपयोगी रहा

0 टिप्पणियां