Cato 이벤트를 AWS S3와 통합

이 항목에서는 Amazon Web Service (AWS) S3 버킷과 Cato 계정을 어떻게 통합하여 이벤트를 S3 버킷에 직접 업로드하는지 설명합니다.

이벤트 통합 개요

AWS S3 버킷에서 이벤트 데이터를 검토하고 분석하는 고객은 Cato 계정을 구성하여 이벤트를 버킷에 자동으로 연속 업로드할 수 있습니다. 이는 고객이 Cato에서 데이터를 가져와야 하며 속도 제한과 같은 문제에 영향을 받는 eventsFeed API와 다릅니다.

이벤트는 압축된 GZ 형식으로 전송되며, 일부 클라이언트(예: 특정 브라우저)는 GZ 확장자를 제거하지 않고 자동으로 이 파일을 압축 해제할 수 있습니다. 이 경우 파일 확장자를 LOG 또는 TXT로 변경하면 파일의 형식이 확장자와 정확하게 정렬됩니다.

이벤트 통합 사용 사례

샘플 회사는 많은 보안 이벤트를 생성하는 IPS 의심스러운 활동 모니터링 기능을 사용하고 있습니다. 그들은 모든 이벤트 데이터를 저장하기 위해 AWS S3 버킷을 생성하고, 이를 다시 SIEM 솔루션과 통합합니다. 예시 회사는 이벤트 통합을 활성화하고 모든 IPS 이벤트가 자동으로 S3 버킷에 업로드되도록 계정에 S3 버킷을 통합으로 추가합니다.

사전 준비물

AWS S3 버킷 구성하기

새로운 S3 버킷을 생성하고 데이터를 수신할 수 있는 정책을 정의하십시오. 그런 다음, Cato의 역할 ARN를 사용하여 S3 버킷의 IAM 역할을 정의하여 Cato가 버킷에 데이터를 업로드할 수 있도록 버킷 권한을 설정합니다.

Cato 클라우드는 다음과 같이 데이터를 S3 버킷에 업로드합니다. 매 60초마다 또는 압축되지 않은 데이터가 9.5MB 이상일 때 업로드됩니다(다양한 요인으로 인해 때때로 데이터가 더 적게 압축된 상태로 업로드될 수 있음).

Cato는 HTTPS를 사용하여 데이터를 S3 버킷에 업로드합니다.

참고

참고:

  • 보안 토큰 서비스(STS)가 활성화된 S3 버킷의 지역만 지원됩니다. 지역에서 STS를 활성화하는 방법에 대한 자세한 내용은 관련 AWS 문서를 참조하십시오.
  • 중국 S3 지역은 지원되지 않습니다.

Cato 이벤트 데이터를 수신하도록 AWS에서 S3 버킷을 구성하려면:

  1. 적절한 AWS 지역과 함께 새로운 S3 버킷을 생성하십시오.

    1-버킷_생성.png
  2. 데이터를 버킷에 업로드할 수 있도록 하는 S3 버킷에 대한 새로운 IAM 정책을 생성하십시오.

  3. 정책에서 JSON 탭을 클릭하고 아래의 Cato JSON을 복사하십시오.

    JSON을 편집하고 S3 버킷의 이름을 추가한 다음 해당 탭에 붙여넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-정책_생성.png

  4. 정책의 설정을 검토하고 정책 생성을 클릭합니다.

    3-정책_이름.png

  5. Cato의 ARN을 사용하여 새로운 IAM 역할을 생성하여 Cato가 귀하의 계정에 대한 이벤트를 S3 버킷에 업로드할 수 있도록 허용합니다.

    1. 신뢰할 수 있는 엔터티 선택 화면에서 Cato의 ARN을 역할에 추가하십시오: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-create_role.png

      다음을 클릭합니다.

    2. 권한 추가 화면에서 4단계에서 생성한 정책을 역할에 첨부합니다.

      5-attach_policy.png

      다음을 클릭합니다.

    3. 역할 이름을 입력하고 역할 생성을 클릭합니다.

    AWS S3 버킷이 이제 귀하의 Cato 계정과 통합할 준비가 되었습니다.

    AWS 완료

이벤트를 위한 Amazon S3 통합 추가

이벤트 통합 탭에서 AWS S3 버킷에 대한 새로운 통합을 생성하고 역할 ARN을 통합에 추가하십시오. 이 ARN은 Cato가 이벤트 데이터를 S3 버킷에 업로드할 수 있는 권한을 부여합니다. AWS S3 통합을 정의하고 활성화한 후 Cato가 S3 버킷에 이벤트를 업로드를 시작하는데 몇 분이 걸립니다.

S3 버킷으로 업로드되는 이벤트를 필터링할 수 있습니다. 예를 들어, 계정의 IPS 이벤트만을 S3 버킷에 업로드하십시오. 기본 설정은 필터 없으며, 모든 이벤트가 S3 버킷에 업로드됩니다.

EventIntegration.png

계정에 대한 이벤트를 업로드하기 위해 AWS S3 버킷 통합을 추가하려면:

  1. 네비게이션 메뉴에서 자원 > 이벤트 통합을 선택합니다.
  2. Cato 이벤트와의 통합 활성화를 선택합니다.
  3. 새로 만들기를 클릭합니다. 새 통합 패널이 열립니다.
  4. S3 버킷 통합 설정을 구성하십시오:
    1. 통합을 위한 이름을 입력하십시오.

    2. AWS의 설정을 기반으로 통합을 위한 이 연결 세부 정보를 입력합니다:

      • 버킷 이름 - S3 버킷과 동일한 이름
      • 폴더 - S3 버킷 내 폴더 경로와 동일한 이름 (필요한 경우)

      • 지역 - S3 버킷과 동일한 지역

        참고: 보안 토큰 서비스(STS)가 활성화된 S3 버킷의 지역만 지원됩니다.

      • 역할 ARN - S3 버킷에 대한 역할의 ARN을 복사 및 붙여넣기

        copyAWS_ARN.png

    3. (선택 사항) S3 버킷에 업로드되는 이벤트에 대한 필터 설정을 정의하십시오.

      여러 필터를 정의하면 AND 관계가 발생되고, 모든 필터에 맞는 이벤트가 업로드됩니다.

  5. 적용을 클릭합니다. 이제 AWS S3 버킷이 귀하의 계정과 통합되었습니다.

    참고: 계정에 대해 총 세 가지 이벤트 통합까지 정의할 수 있습니다.

도움이 되었습니까?

4명 중 3명이 도움이 되었다고 했습니다.

댓글 0개