Integração de Eventos Cato com AWS S3

Este artigo explica como integrar um bucket Amazon Web Service (AWS) S3 à sua conta Cato para enviar eventos diretamente ao bucket S3.

Visão Geral da Integração de Eventos

Para clientes que revisam e analisam dados de eventos em um bucket AWS S3, você pode configurar sua conta Cato para enviar automaticamente e continuamente eventos ao bucket. Isso é diferente da eventsFeed API, que requer que os clientes puxem os dados do Cato e é afetado por problemas como limitação de taxa.

Nota

Nota: Você pode definir um total de até três Integrações de Eventos para sua conta.

Caso de Uso da Integração de Eventos

A empresa de exemplo está usando o recurso de Monitoramento de Atividades Suspeitas do IPS, que gera muitos eventos de segurança. Eles decidiram criar um bucket AWS S3 para armazenar todos os dados de eventos, que podem ser então integrados à sua solução SIEM. A empresa de exemplo habilita a Integração de Eventos e adiciona o bucket S3 como uma integração à sua conta Cato, para que todos os eventos do IPS sejam automaticamente enviados ao bucket S3.

Configurando o Bucket AWS S3

Crie um novo bucket S3 e defina a política que permita que ele receba dados. Em seguida, defina a Função IAM para o bucket S3 com o ARN da Função da Cato para definir as permissões do bucket permitindo que a Cato envie dados para o bucket.

A Cato Cloud envia dados para o bucket S3 da seguinte maneira: a cada 60 segundos ou quando há mais de 10MB de dados. A Cato usa HTTPS para enviar dados ao bucket S3.

Nota

Notas:

  • Somente as regiões de buckets S3 onde o Security Token Service (STS) está ativo são suportadas.

    Para mais informações sobre como habilitar o STS para uma região, veja a documentação da AWS.

  • Nota: Se o acesso ao serviço de terceiros estiver limitado a endereços IP específicos, consulte este artigo para a lista de endereços IP que você precisa permitir (é necessário estar logado para visualizar este artigo).

Para configurar um bucket S3 na AWS para receber dados de eventos Cato:

  1. Crie um novo bucket S3 com a Região AWS apropriada.

    1-criar_bucket.png

  2. Crie uma nova política IAM para o bucket S3 que permita enviar dados ao bucket.

  3. Na política, clique na aba JSON e copie o JSON da Cato abaixo.

    Edite o JSON e adicione o nome para o bucket S3 e então cole na aba.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Permitido",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<nome do bucket>/*"
            ]
        }
    ]
}
    2-criar_política.png

  4. Revise as configurações para a política e clique em Criar política.

    3-nomear_política.png

  5. Crie uma nova Função IAM com o ARN da Cato para permitir que a Cato envie eventos da sua conta para o bucket S3.

    1. Na tela Selecionar entidade confiável, adicione o ARN da Cato à função: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Permitido",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-criar_função.png

      Clique em Próximo.

    2. Na tela Adicionar permissões, anexe a política que você criou na etapa 4 à função.

      5-anexar_política.png

      Clique em Próximo.

    3. Digite o Nome da Função e clique em Criar Função.

      6-nomear_função.png

    O bucket AWS S3 está pronto para se integrar à sua conta Cato.

Adicionando Integração de Amazon S3 para Eventos

Crie uma nova integração para o bucket AWS S3 na aba Integração de Eventos e adicione o ARN da Função à integração. Este ARN dá permissão à Cato para enviar os dados do evento para o bucket S3. Após definir e ativar a integração AWS S3, leva alguns minutos para que a Cato comece a enviar eventos para o bucket S3.

Você pode optar por filtrar os eventos que são enviados para o bucket S3. Por exemplo, envie apenas eventos IPS para sua conta no bucket S3. A configuração padrão é sem filtro e todos os eventos são enviados para o bucket S3.

IntegraçãoDeEventos.png

Para adicionar uma integração de bucket AWS S3 para enviar eventos de sua conta:

  1. No menu de navegação, selecione Recursos > Integração de Eventos.

  2. Selecione Habilitar integração com eventos da Cato.

  3. Clique em Novo. O painel Nova Integração se abre.

  4. Configure as configurações para a integração do bucket S3:

    1. Digite o Nome para a integração.

    2. Digite estes Detalhes da Conexão para a integração com base nas configurações na AWS:

      • Nome do Bucket - Nome idêntico ao do bucket S3

      • Pasta - Nome idêntico para o caminho da pasta dentro do bucket S3 (se necessário)

      • Região - Região idêntica para o bucket S3

        Nota: Apenas regiões para buckets S3 onde o Serviço de Token de Segurança (STS) está ativo são suportadas.

      • ARN da Função - Copie e cole o ARN para a Função para o bucket S3

        copiarAWS_ARN.png

    3. (Opcional) Defina as configurações de filtro para os eventos que são enviados para o bucket S3.

      Quando você define múltiplos filtros, existe uma relação E, e os eventos que correspondem a todos os filtros são enviados.

  5. Clique em Aplicar. O bucket AWS S3 agora está integrado com sua conta.

    Nota: Você pode definir até um total de três Integrações de Eventos para sua conta.

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário