Интеграция событий Cato с AWS S3

Обзор интеграции событий Amazon S3

Организации, которые хранят и управляют данными событий в AWS S3 Bucket, могут настроить свою учетную запись Cato для их автоматической и непрерывной загрузки. 

Эта интеграция постоянно загружает события напрямую из облака Cato в bucket S3, в отличие от API eventsFeed, который требует извлечения данных из Cato и может быть подвержен ограничению частоты.

Облако Cato загружает данные в bucket S3 каждую 60 секунд или когда накапливается более 9.5 МБ несжатых данных. Данные передаются безопасно через HTTPS.

События загружаются в сжатом формате .GZ. Некоторые клиенты, такие как определенные браузеры, могут автоматически распаковывать эти файлы, не удаляя расширение .GZ. Если это происходит, изменение расширения файла на LOG или TXT корректно согласует формат файла с его расширением.

Использование кейса для интеграции событий

Компания-пример использует функцию мониторинга подозрительной активности IPS, которая генерирует большое количество событий безопасности. Они решают создать корзину AWS S3, чтобы хранить все данные о событиях, которые затем можно интегрировать с их решением SIEM. Компания-пример включает интеграцию событий и добавляет bucket S3 как интеграцию в свою учетную запись Cato, чтобы все события IPS автоматически загружались в bucket S3.

Требования

Настройка ведра AWS S3

Создайте bucket S3 и определите политику IAM, которая позволяет Cato загружать в него данные событий. Затем создайте роль IAM с ARN роли Cato и прикрепите к ней политику.

Облако Cato загружает данные в bucket S3 каждую 60 секунд или когда накапливается более 9.5 МБ несжатых данных. В зависимости от различных факторов данные могут быть загружены до достижения объема 9.5 МБ.

Cato использует HTTPS для загрузки данных в S3 Bucket.

Примечание

Примечания:

  • Поддерживаются только регионы для бакетов S3, в которых активна служба Security Token Service (STS). Для получения дополнительной информации о включении STS для региона смотрите соответствующую документацию AWS.
  • Регион S3 в Китае не поддерживается.

Для настройки корзины S3 в AWS для получения данных о событиях Cato:

  1. Создайте новую корзину S3 в соответствующем Регионе AWS.

    1-создать_бакет.png
  2. Создайте новую политику IAM для корзины S3, которая позволяет загружать данные в корзину.

  3. В политике нажмите на вкладку JSON и скопируйте ниже JSON от Cato.

    Редактируйте JSON и добавьте название для корзины S3, затем вставьте его в вкладку.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-создать_политику.png

  4. Просмотрите настройки для политики и нажмите Создать политику.

    3-назвать_политику.png

  5. Создайте новую роль IAM с ARN Cato, чтобы разрешить Cato загружать события для вашей учетной записи в ведро S3.

    1. На странице Выбор надежного объекта добавьте ARN Cato в роль: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-создать_роль.png

      Нажмите Далее.

    2. На странице Добавление разрешений прикрепите ранее созданную политику к роли.

      5-присоединить_политику.png

      Нажмите Далее.

    3. Введите Имя роли и нажмите Создать роль.

    Ведро AWS S3 готово к интеграции с вашим аккаунтом Cato.

    aws_done.png

Добавление Интеграции событий для Amazon S3

Создайте новую интеграцию для бакета AWS S3 на вкладке Интеграция событий и добавьте ARN роли в интеграцию. Этот ARN дает Cato разрешение на загрузку данных события в ведро S3. 

После того, как вы определите и активируете интеграцию AWS S3, потребуется несколько минут, чтобы Cato начал загружать события в ведро S3.

Вы можете фильтровать события, загружаемые в бакет S3, по типу события или подтипу. Например, вы можете загружать только события IPS для вашей учетной записи. По умолчанию фильтр не применяется и все события загружаются в бакет S3.

событиеИнтеграция.png

Чтобы добавить интеграцию ведра AWS S3 для загрузки событий на ваш аккаунт:

  1. В меню навигации выберите Ресурсы > Интеграция событий.
  2. Выберите Включить интеграцию с событиями Cato.
  3. Нажмите Новый. Откроется панель Новая Интеграция.
  4. Настройте параметры для интеграции ведра S3:
    1. Введите Имя для интеграции.

    2. Введите следующие Детали соединения для интеграции на основе настроек в AWS:

      • Имя bucket - точное имя bucket S3
      • Папка - путь к папке в bucket S3, если требуется

      • Регион - регион, в котором размещен bucket S3

        Примечание: Поддерживаются только регионы для ведер S3, где активен Сервис Токен Безопасности (STS).

      • Role ARN - Скопируйте и вставьте ARN для роли для ведра S3

        копироватьAWS_ARN.png

    3. (Опционально) Определите настройки фильтра для событий, которые загружаются в ведро S3.

      Когда вы определяете несколько фильтров, существует отношение И, и события, которые соответствуют всем фильтрам, загружаются.

  5. Нажмите Применить. Ведро AWS S3 теперь интегрировано с вашим аккаунтом.

    Примечание: для вашей учетной записи можно определить до трех интеграций событий.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 4

0 комментариев