CatoイベントをAWS S3に統合する

この記事では、Amazon Web Service (AWS) S3バケットをCatoアカウントとどのように統合してイベントを直接S3バケットにアップロードするかを説明します。

イベント統合の概要

AWS S3バケット内のイベントデータをレビューおよび分析する顧客向けに、Catoアカウントを設定してイベントをバケットに自動かつ継続的にアップロードすることができます。 これは、顧客がCatoからデータを取り込む必要があり、レート制限などの問題に影響されるeventsFeed APIとは異なります。

イベントは圧縮されたGZ形式で送信され、いくつかのクライアント(例: 特定のブラウザ)は、GZ拡張子を削除せずに自動的にこれらのファイルを解凍する場合があります。 これが発生した場合、ファイル拡張子をLOGまたはTXTに変更することで、ファイルの形式がその拡張子と正しく整合します。

イベント統合の使用事例

サンプル会社は疑わしい活動の監視機能を使用しており、多くのセキュリティイベントを生成しています。 彼らは、すべてのイベントデータを保存するAWS S3バケットを作成し、SIEMソリューションと統合することを決定します。 サンプル会社がイベント統合を有効にし、Cato アカウントに S3 バケットを連携させると、すべての IPS イベントが自動的に S3 バケットにアップロードされます。

前提条件

AWS S3バケットの設定

新しいS3バケットを作成し、データを受信することを許可するポリシーを定義します。 次に、S3 バケットに Cato のロールARNを使用して IAM ロールを定義し、Cato がデータをバケットにアップロードできるようにバケット権限を設定します。

Cato Cloudは、次のようにS3バケットにデータをアップロードします。毎秒60秒ごとに、または圧縮されていないデータが9.5MBを超える場合(さまざまな要因により、圧縮されていないデータが少ない状態でアップロードされることもあります)。

Cato は HTTPS を使用して S3 バケットにデータをアップロードします。

注意

注:

  • Security Token Service (STS) が有効な S3 バケットの地域のみがサポートされています。 地域でのSTSの有効化に関する詳細情報については、AWS ドキュメントを参照してください。
  • 中国の S3 地域はサポートされていません。

Catoイベントデータを受け取るために、AWSでS3バケットを設定します:

  1. 適切な AWSリージョン で新しい S3 バケットを作成します。

    1-create_bucket.png
  2. データをバケットにアップロードすることを許可する S3 バケット用の新しい IAM ポリシーを作成します。

  3. ポリシー内でJSONタブをクリックし、以下のCato JSONをコピーします。

    JSON を編集し、S3 バケットの名前を追加して、タブに貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "許可",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "許可",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-create_policy.png

  4. ポリシーの設定を確認し、ポリシーを作成 をクリックします。

    3-name_policy.png

  5. 新しいIAMロールをCatoのARNで作成することにより、CatoがイベントをアカウントのS3バケットにアップロードすることを許可します。

    1. 信頼されたエンティティを選択 画面で、Cato の ARN をロールに追加します: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-create_role.png

      次へ をクリックします。

    2. 権限を追加 画面で、ステップ 4 で作成したポリシーをロールに添付します。

      5-attach_policy.png

      次へ をクリックします。

    3. ロール名 を入力し、ロールを作成 をクリックします。

    AWS S3 バケットは、お客様の Cato アカウントと統合する準備が整いました。

    完了した AWS

イベントのための Amazon S3 統合を追加

イベント統合タブでAWS S3バケットの新しい統合を作成し、統合にロールARNを追加します。 このARNは、CatoにイベントデータをS3バケットにアップロードする権限を与えます。 AWS S3 統合を定義して有効化した後、CatoがS3バケットにイベントのアップロードを開始するまでには数分かかります。

S3バケットにアップロードされるイベントをフィルターするか選択できます。 例えば、アカウントのためのIPSイベントのみをS3バケットにアップロードします。 デフォルトの設定はフィルターなしで、すべてのイベントがS3バケットにアップロードされます。

EventIntegration.png

To add an AWS S3 bucket integration to upload events for your account:

  1. ナビゲーションメニューから、リソース > イベント連携を選択します。
  2. Catoイベントとの統合を有効にするを選択します。
  3. 新規をクリックします。 新しい統合パネルが開きます。
  4. Configure the settings for the S3 bucket integration:
    1. 統合のために名前を入力します。

    2. AWSの設定に基づいて統合の接続詳細を入力します:

      • バケット名 - S3バケットの同じ名前
      • フォルダ - S3バケット内のフォルダパスの同じ名前(必要な場合)

      • リージョン - S3バケットの同じ地域

        注: S3バケットの地域でセキュリティトークンサービス(STS)が有効な場合のみサポートされます。

      • ロールARN - S3バケットの役割のARNをコピーして貼り付けます

        copyAWS_ARN.png

    3. (オプション) S3バケットにアップロードされるイベントのフィルター設定を定義します。

      複数のフィルタを定義すると、AND関係があり、すべてのフィルタに一致するイベントがアップロードされます。

  5. 適用をクリックします。 AWS S3バケットがアカウントと統合されました。

    注意: アカウントの最大3つのイベント連携を定義できます。

この記事は役に立ちましたか?

4人中3人がこの記事が役に立ったと言っています

0件のコメント