Integração de Eventos Cato com AWS S3

Visão geral da Integração de Eventos da Amazon S3

Organizações que armazenam e gerenciam dados de eventos em um bucket AWS S3 podem configurar sua Conta Cato para fazer upload de eventos para ela automaticamente e continuamente.

Essa integração envia continuamente eventos diretamente do Cato Cloud para o bucket S3, ao contrário da API eventsFeed, que exige a extração de dados da Cato e pode ser afetada por limitação de taxa.

O Cato Cloud faz upload de dados para o bucket S3 a cada 60 segundos, ou sempre que mais de 9,5 MB de dados não comprimidos forem acumulados. Dados são transferidos com segurança via HTTPS.

Os eventos são enviados em formato comprimido .GZ. Alguns clientes, como certos navegadores, podem descomprimir automaticamente esses arquivos sem remover a extensão .GZ. Se isso ocorrer, alterar a extensão do arquivo para LOG ou TXT alinhará corretamente o formato do arquivo com sua extensão.

Caso de Uso da Integração de Eventos

A empresa exemplo está usando o recurso Monitoramento de Atividades Suspeitas do IPS que gera muitos eventos de segurança. Eles decidiram criar um bucket AWS S3 para armazenar todos os dados de eventos, que podem ser então integrados à sua solução SIEM. A empresa exemplo habilita a Integração de Eventos e adiciona o bucket S3 como uma integração à sua conta Cato para que todos os eventos do IPS sejam carregados automaticamente para o bucket S3.

Pré-requisitos

Revise os pré-requisitos para todas as integrações de eventos Cato em Introdução às Integrações de Eventos

Configurando o Bucket AWS S3

Crie um bucket S3 e defina uma política IAM que permita à Cato enviar dados de eventos para ele. Em seguida, crie uma função IAM com o ARN da função da Cato e anexe a política à função.

O Cato Cloud faz o upload de dados para o bucket S3 a cada 60 segundos, ou quando mais de 9,5 MB de dados não comprimidos são acumulados. Dependendo de diferentes fatores, os dados podem às vezes ser enviados antes de atingir 9,5 MB.

A Cato usa HTTPS para enviar dados para o bucket S3.

Nota

Notas:

Apenas regiões para buckets S3 onde o Serviço de Token de Segurança (STS) está ativo são suportadas. Para mais informações sobre como ativar o STS para uma região, consulte a documentação da AWS relevante.
A região S3 da China não é suportada.

Para configurar um bucket S3 na AWS para receber dados de eventos Cato:

Crie um novo bucket S3 com a Região AWS apropriada.
Crie uma nova política IAM para o bucket S3 que permita enviar dados ao bucket.

Na política, clique na aba JSON e copie o JSON da Cato abaixo.

Edite o JSON e adicione o nome para o bucket S3 e então cole na aba.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>/*"
            ]
        }
    ]
}

Revise as configurações para a política e clique em Criar política.
Crie uma nova função IAM com o ARN da Cato para permitir que a Cato carregue eventos para sua conta no bucket S3.
1. Na página Selecionar entidade confiável, adicione o ARN da Cato à função: arn:aws:iam::428465470022:role/cato-events-integration
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
```
  Clique em Próximo.
2. Na página Adicionar permissões, anexe a política que você criou anteriormente à função.
  
  Clique em Próximo.
3. Digite o Nome da Função e clique em Criar Função.
O bucket AWS S3 está pronto para se integrar à sua conta Cato.

Adicionar uma Integração de Evento para Amazon S3

Crie uma nova integração para o bucket AWS S3 na aba Integração de Eventos e adicione o Role ARN à integração. Este ARN dá permissão à Cato para enviar os dados do evento para o bucket S3.

Após definir e ativar a integração AWS S3, leva alguns minutos para que a Cato comece a enviar eventos para o bucket S3.

Você pode filtrar os eventos que são enviados para o bucket S3 por tipo de evento ou subtipo. Por exemplo, você pode enviar apenas eventos IPS para sua conta. Por padrão, nenhum filtro é aplicado, e todos os eventos são enviados para o bucket S3.

Para adicionar uma integração de bucket AWS S3 para enviar eventos de sua conta:

No menu de navegação, selecione Recursos > Integração de Eventos.
Selecione Habilitar integração com eventos da Cato.
Clique em Novo. O painel Nova Integração se abre.
Configure as configurações para a integração do bucket S3:
1. Digite o Nome para a integração.
2. Digite estes Detalhes da Conexão para a integração com base nas configurações na AWS:
  - Nome do Bucket - Nome exato do bucket S3
  - Pasta - Caminho da pasta dentro do bucket S3, se necessário
  - Região - Região onde o bucket S3 está hospedado
    
    Nota: Somente regiões para buckets S3 onde o Serviço de Token de Segurança (STS) está ativo são suportadas.
  - ARN da Função - Copie e cole o ARN para a Função para o bucket S3
3. (Opcional) Defina as configurações de filtro para os eventos que são enviados para o bucket S3.
  
  Quando você define múltiplos filtros, existe uma relação E, e os eventos que correspondem a todos os filtros são enviados.
Clique em Aplicar. O bucket AWS S3 agora está integrado com sua conta.

Nota: Você pode definir até três Integrações de Eventos para sua conta.