CatoイベントをAWS S3に統合する

Amazon S3 イベント統合の概要

AWS S3バケットにイベントデータを保存して管理している組織は、Catoアカウントを設定してイベントを自動的かつ継続的にアップロードできます。 

この統合は、Cato Cloud から S3 バケットにイベントを直接プッシュし続けますが、eventsFeed API ではデータをCatoからプルする必要があり、速度制限の影響を受ける可能性があります。

Cato Cloudは、60秒ごと、または9.5MBを超える非圧縮データが蓄積されたときに、データをS3バケットにアップロードします。 データはHTTPSを介して安全に転送されます。

イベントは圧縮された.GZ形式でアップロードされます。 一部のクライアント、例えば特定のブラウザは、.GZ拡張子を削除せずにこれらのファイルを自動的に解凍することがあります。 これが発生した場合、ファイル拡張子をLOGまたはTXTに変更することで、ファイルの形式がその拡張子と正しく整合します。

イベント統合の使用事例

サンプル会社は疑わしい活動の監視機能を使用しており、多くのセキュリティイベントを生成しています。 彼らは、すべてのイベントデータを保存するAWS S3バケットを作成し、SIEMソリューションと統合することを決定します。 サンプル会社はイベント統合を有効にし、S3バケットをCatoアカウントの統合として追加することで、すべてのIPSイベントがS3バケットに自動的にアップロードされるようにします。

前提条件

AWS S3バケットの設定

S3バケットを作成し、CatoがイベントデータをアップロードできるようにするIAMポリシーを定義します。 次に、CatoのロールARNを持つIAMロールを作成し、ポリシーをロールにアタッチします。

Cato Cloudは60秒ごと、または9.5MB以上の非圧縮データが蓄積されたときにS3バケットにデータをアップロードします。 さまざまな要因によっては、データが9.5MBに達する前にアップロードされることがあります。

Cato は HTTPS を使用して S3 バケットにデータをアップロードします。

注意

注:

  • Security Token Service (STS) が有効な S3 バケットの地域のみがサポートされています。 地域でのSTSの有効化に関する詳細情報については、AWS ドキュメントを参照してください。
  • 中国の S3 地域はサポートされていません。

Catoイベントデータを受け取るために、AWSでS3バケットを設定します:

  1. 適切な AWSリージョン で新しい S3 バケットを作成します。

    1-create_bucket.png
  2. データをバケットにアップロードすることを許可する S3 バケット用の新しい IAM ポリシーを作成します。

  3. ポリシー内でJSONタブをクリックし、以下のCato JSONをコピーします。

    JSON を編集し、S3 バケットの名前を追加して、タブに貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "許可",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "許可",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-create_policy.png

  4. ポリシーの設定を確認し、ポリシーを作成 をクリックします。

    3-name_policy.png

  5. 新しいIAMロールをCatoのARNで作成することにより、CatoがイベントをアカウントのS3バケットにアップロードすることを許可します。

    1. 信頼できるエンティティを選択ページで、ロールにCatoのARNを追加します:arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-create_role.png

      次へ をクリックします。

    2. 権限を追加ページで、先ほど作成したポリシーをロールにアタッチします。

      5-attach_policy.png

      次へ をクリックします。

    3. ロール名 を入力し、ロールを作成 をクリックします。

    AWS S3 バケットは、お客様の Cato アカウントと統合する準備が整いました。

    完了した AWS

Amazon S3のイベント統合を追加

イベント統合タブでAWS S3バケットへの新しい統合を作成し、統合にロールARNを追加します。 このARNは、CatoにイベントデータをS3バケットにアップロードする権限を与えます。 

AWS S3 統合を定義して有効化した後、CatoがS3バケットにイベントのアップロードを開始するまでには数分かかります。

イベントタイプやサブタイプによってS3バケットへのイベントをフィルターすることができます。 例えば、アカウントのためにIPSイベントのみをアップロードすることができます。 デフォルトではフィルターは適用されず、すべてのイベントがS3バケットにアップロードされます。

EventIntegration.png

To add an AWS S3 bucket integration to upload events for your account:

  1. ナビゲーションメニューから、リソース > イベント連携を選択します。
  2. Catoイベントとの統合を有効にするを選択します。
  3. 新規をクリックします。 新しい統合パネルが開きます。
  4. Configure the settings for the S3 bucket integration:
    1. 統合のために名前を入力します。

    2. AWSの設定に基づいて統合の接続詳細を入力します:

      • バケット名 - S3バケットの正確な名前
      • フォルダ - 必要に応じてS3バケット内のフォルダパス

      • 地域 - S3バケットがホストされている地域

        注: S3バケットの地域でセキュリティトークンサービス(STS)が有効な場合のみサポートされます。

      • ロールARN - S3バケットの役割のARNをコピーして貼り付けます

        copyAWS_ARN.png

    3. (オプション) S3バケットにアップロードされるイベントのフィルター設定を定義します。

      複数のフィルタを定義すると、AND関係があり、すべてのフィルタに一致するイベントがアップロードされます。

  5. 適用をクリックします。 AWS S3バケットがアカウントと統合されました。

    注: アカウントに対して最大3つのイベント統合を定義できます。

この記事は役に立ちましたか?

4人中3人がこの記事が役に立ったと言っています

0件のコメント