Интеграция событий Cato с AWS S3

В этой статье объясняется, как интегрировать корзину Amazon Web Service (AWS) S3 с вашей учетной записью Cato для прямой загрузки событий в корзину S3.

Обзор интеграции событий

Для клиентов, которые проверяют и анализируют данные событий в ведре AWS S3, можно настроить учетную запись Cato для автоматической и непрерывной загрузки событий в ведро. Это отличается от eventsFeed API, который требует от клиентов получать данные из Cato и может столкнуться с проблемами, такими как ограничение скорости.

События отправляются в сжатом формате GZ, некоторые клиенты (например, определенные браузеры) могут автоматически распаковывать эти файлы без удаления расширения GZ. Если это происходит, изменение расширения файла на LOG или TXT корректно согласует формат файла с его расширением.

Использование кейса для интеграции событий

Пример компании использует функцию мониторинга подозрительной активности IPS, которая генерирует множество событий безопасности. Они решают создать корзину AWS S3, чтобы хранить все данные о событиях, которые затем можно интегрировать с их решением SIEM. Пример компании включает интеграцию событий и добавляет S3 Bucket как интеграцию в свой аккаунт Cato, чтобы все события IPS автоматически загружались в S3 Bucket.

Требования

Настройка ведра AWS S3

Создайте новую корзину S3 и определите политику, позволяющую ей получать данные. Затем определите роль IAM для S3 Bucket с Role ARN Cato, чтобы установить разрешения Bucket, позволяющие Cato загружать данные в Bucket.

Облако Cato загружает данные в ведро S3 следующим образом: каждые 60 секунд или при наличии более 9,5 МБ несжатых данных (из-за различных факторов иногда данные загружаются с меньшим объемом несжатых данных).

Cato использует HTTPS для загрузки данных в S3 Bucket.

Примечание

Примечания:

  • Поддерживаются только регионы для бакетов S3, в которых активна служба Security Token Service (STS). Для получения дополнительной информации о включении STS для региона смотрите соответствующую документацию AWS.
  • Регион S3 в Китае не поддерживается.

Для настройки корзины S3 в AWS для получения данных о событиях Cato:

  1. Создайте новую корзину S3 в соответствующем Регионе AWS.

    1-создать_бакет.png
  2. Создайте новую политику IAM для корзины S3, которая позволяет загружать данные в корзину.

  3. В политике нажмите на вкладку JSON и скопируйте ниже JSON от Cato.

    Редактируйте JSON и добавьте название для корзины S3, затем вставьте его в вкладку.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-создать_политику.png

  4. Просмотрите настройки для политики и нажмите Создать политику.

    3-назвать_политику.png

  5. Создайте новую роль IAM с ARN Cato, чтобы разрешить Cato загружать события для вашей учетной записи в ведро S3.

    1. На экране Выбор доверенного субъекта добавьте ARN Cato в роль: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-создать_роль.png

      Нажмите Далее.

    2. На экране Добавить разрешения прикрепите политику, которую вы создали на шаге 4, к роли.

      5-присоединить_политику.png

      Нажмите Далее.

    3. Введите Имя роли и нажмите Создать роль.

    Ведро AWS S3 готово к интеграции с вашим аккаунтом Cato.

    aws_done.png

Добавление интеграции Amazon S3 для событий

Создайте новую интеграцию для ведра AWS S3 на вкладке Интеграция событий и добавьте ARN роли в интеграцию. Этот ARN дает Cato разрешение на загрузку данных события в ведро S3. После того, как вы определите и активируете интеграцию AWS S3, потребуется несколько минут, чтобы Cato начал загружать события в ведро S3.

Можно выбрать фильтрацию событий, которые загружаются в ведро S3. Например, загружайте только события IPS для вашего аккаунта в ведро S3. Настройка по умолчанию - без фильтра, и все события загружаются в ведро S3.

событиеИнтеграция.png

Чтобы добавить интеграцию ведра AWS S3 для загрузки событий на ваш аккаунт:

  1. В меню навигации выберите Ресурсы > Интеграция событий.
  2. Выберите Включить интеграцию с событиями Cato.
  3. Нажмите Новый. Откроется панель Новая Интеграция.
  4. Настройте параметры для интеграции ведра S3:
    1. Введите Имя для интеграции.

    2. Введите следующие Детали соединения для интеграции на основе настроек в AWS:

      • Имя Bucket - Точное имя ведра S3
      • Папка - Точное имя пути к папке внутри ведра S3 (если необходимо)

      • Регион - Точный регион для ведра S3

        Примечание: Поддерживаются только регионы для ведер S3, где активен Сервис Токен Безопасности (STS).

      • Role ARN - Скопируйте и вставьте ARN для роли для ведра S3

        копироватьAWS_ARN.png

    3. (Опционально) Определите настройки фильтра для событий, которые загружаются в ведро S3.

      Когда вы определяете несколько фильтров, существует отношение И, и события, которые соответствуют всем фильтрам, загружаются.

  5. Нажмите Применить. Ведро AWS S3 теперь интегрировано с вашим аккаунтом.

    Примечание: Вы можете определить до трех интеграций событий для вашей учетной записи.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 4

0 комментариев