Integração de Eventos Cato com AWS S3

Este artigo explica como integrar um bucket Amazon Web Service (AWS) S3 à sua conta Cato para enviar eventos diretamente ao bucket S3.

Visão geral da Integração de Eventos

Para clientes que revisam e analisam dados de eventos em um bucket AWS S3, você pode configurar sua conta Cato para carregar eventos automaticamente e continuamente no bucket. Isso é diferente da API eventsFeed, que requer que o Cliente obtenha os Dados da Cato e é impactado por Problemas como a limitação de taxa.

Os eventos são enviados em um formato GZ comprimido, alguns clientes (por exemplo, certos navegadores) podem descomprimir automaticamente esses arquivos sem remover a extensão GZ. Se isso ocorrer, alterar a extensão do arquivo para LOG ou TXT alinhará corretamente o formato do arquivo com sua extensão.

Caso de Uso da Integração de Eventos

A empresa exemplo está usando o recurso Monitoramento de Atividades Suspeitas do IPS, que gera muitos eventos de segurança. Eles decidiram criar um bucket AWS S3 para armazenar todos os dados de eventos, que podem ser então integrados à sua solução SIEM. A empresa exemplo ativa a Integração de Eventos e adiciona o bucket S3 como uma integração à sua Conta da Cato para que todos os eventos do IPS sejam automaticamente enviados para o bucket S3.

Pré-requisitos

Por favor, revise os pré-requisitos para todas as integrações de eventos da Cato em Introdução às Integrações de Eventos

Configurando o Bucket AWS S3

Crie um novo bucket S3 e defina a política que permita que ele receba dados. Em seguida, defina a Função IAM para o bucket S3 com o ARN da Função da Cato para definir as Permissões do bucket e permitir que a Cato envie dados para o bucket.

O Cato Cloud carrega dados para o bucket S3 da seguinte forma, a cada 60 segundos, ou quando há mais de 9,5 MB de dados descomprimidos (devido a fatores diversos, às vezes os dados são carregados com menos dados descomprimidos).

A Cato usa HTTPS para enviar dados para o bucket S3.

Nota

Notas:

Apenas regiões para buckets S3 onde o Serviço de Token de Segurança (STS) está ativo são suportadas. Para mais informações sobre como ativar o STS para uma região, consulte a documentação da AWS relevante.
A região S3 da China não é suportada.

Para configurar um bucket S3 na AWS para receber dados de eventos Cato:

Crie um novo bucket S3 com a Região AWS apropriada.
Crie uma nova política IAM para o bucket S3 que permita enviar dados ao bucket.

Na política, clique na aba JSON e copie o JSON da Cato abaixo.

Edite o JSON e adicione o nome para o bucket S3 e então cole na aba.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>/*"
            ]
        }
    ]
}

Revise as configurações para a política e clique em Criar política.
Crie uma nova função IAM com o ARN da Cato para permitir que a Cato carregue eventos para sua conta no bucket S3.
1. Na tela Selecionar entidade confiável, adicione o ARN da Cato à função: arn:aws:iam::428465470022:role/cato-events-integration
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
```
  Clique em Próximo.
2. Na tela Adicionar permissões, anexe a política que você criou na etapa 4 à função.
  
  Clique em Próximo.
3. Digite o Nome da Função e clique em Criar Função.
O bucket AWS S3 está pronto para se integrar à sua conta Cato.

Adicionando Integração do Amazon S3 para Eventos

Crie uma nova integração para o bucket AWS S3 na aba Integração de Eventos e adicione o ARN da Função à integração. Este ARN dá permissão à Cato para enviar os dados do evento para o bucket S3. Após definir e ativar a integração AWS S3, leva alguns minutos para que a Cato comece a enviar eventos para o bucket S3.

Você pode optar por filtrar os eventos que são carregados no bucket S3. Por exemplo, envie apenas eventos IPS para sua conta no bucket S3. A configuração padrão é sem filtro, e todos os eventos são carregados para o bucket S3.

Para adicionar uma integração de bucket AWS S3 para enviar eventos de sua conta:

No menu de navegação, selecione Recursos > Integração de Eventos.
Selecione Habilitar integração com eventos da Cato.
Clique em Novo. O painel Nova Integração se abre.
Configure as configurações para a integração do bucket S3:
1. Digite o Nome para a integração.
2. Digite estes Detalhes da Conexão para a integração com base nas configurações na AWS:
  - Nome do Bucket - Nome idêntico ao do bucket S3
  - Pasta - Nome idêntico para o caminho da pasta dentro do bucket S3 (se necessário)
  - Região - Região idêntica para o bucket S3
    
    Nota: Somente regiões para buckets S3 onde o Serviço de Token de Segurança (STS) está ativo são suportadas.
  - ARN da Função - Copie e cole o ARN para a Função para o bucket S3
3. (Opcional) Defina as configurações de filtro para os eventos que são enviados para o bucket S3.
  
  Quando você define múltiplos filtros, existe uma relação E, e os eventos que correspondem a todos os filtros são enviados.
Clique em Aplicar. O bucket AWS S3 agora está integrado com sua conta.

Nota: Você pode definir um total de até três Integrações de Eventos para sua conta.