Интеграция событий Cato с AWS S3

В этой статье объясняется, как интегрировать корзину Amazon Web Service (AWS) S3 с вашей учетной записью Cato для прямой загрузки событий в корзину S3.

Обзор интеграции событий

Для клиентов, которые проверяют и анализируют данные о событиях в корзине AWS S3, вы можете настроить свою учетную запись Cato для автоматической и постоянной загрузки событий в корзину. Это отличается от API eventsFeed, которая требует, чтобы клиенты извлекали данные из Cato и на которую влияют проблемы, такие как ограничение скорости.

Примечание

Примечание: Вы можете определить до трех интеграций событий для вашей учетной записи.

Использование интеграции событий

Пример компании использует функцию Мониторинг подозрительной активности (SAM), которая генерирует много событий безопасности. Они решают создать корзину AWS S3, чтобы хранить все данные о событиях, которые затем можно интегрировать с их решением SIEM. Пример компании активирует интеграцию событий и добавляет корзину S3 как интеграцию в свою учетную запись Cato, чтобы все события IPS загружались автоматически в корзину S3.

Настройка корзины AWS S3

Создайте новую корзину S3 и определите политику, позволяющую ей получать данные. Затем определите роль IAM для корзины S3 с ролью ARN Cato, чтобы установить разрешения на корзину, позволяющие Cato загружать данные в корзину.

Кейто Облако загружает данные в Bucket S3 следующим образом: каждые 60 секунд или когда больше 10 МБ данных. Cato использует HTTPS для загрузки данных в корзину S3.

Примечание

Примечания:

  • Поддерживаются только регионы для корзин S3, где активна служба Security Token Service (STS).

    Для получения дополнительной информации о включении STS для региона, смотрите документацию AWS.

  • Примечание: Если доступ к стороннему сервису ограничен определёнными IP-адресами, пожалуйста, смотрите эту статью для получения списка IP-адресов Cato, которые нужно разрешить (вам нужно войти в систему, чтобы увидеть эту статью).

Для настройки корзины S3 в AWS для получения данных о событиях Cato:

  1. Создайте новую корзину S3 в соответствующем Регионе AWS.

    1-создать_бакет.png

  2. Создайте новую политику IAM для корзины S3, которая позволяет загружать данные в корзину.

  3. В политике нажмите на вкладку JSON и скопируйте JSON Cato ниже.

    Редактируйте JSON и добавьте название для корзины S3, затем вставьте его в вкладку.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-создать_политику.png

  4. Просмотрите настройки для политики и нажмите Создать политику.

    3-назвать_политику.png

  5. Создайте новую роль IAM с ARN Cato, чтобы позволить Cato загружать события для вашей учетной записи в корзину S3.

    1. На экране Выбор доверенного субъекта добавьте ARN Cato в роль: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Разрешить",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-создать_роль.png

      Нажмите Далее.

    2. На экране Добавить разрешения прикрепите политику, которую вы создали на шаге 4, к роли.

      5-присоединить_политику.png

      Нажмите Далее.

    3. Введите Имя роли и нажмите Создать роль.

      6-назвать_роль.png

    Ведро AWS S3 готово к интеграции с вашим аккаунтом Cato.

Добавление интеграции Amazon S3 для событий

Создайте новую интеграцию для ведра AWS S3 на вкладке Интеграция событий и добавьте ARN роли в интеграцию. Этот ARN дает Cato разрешение на загрузку данных события в ведро S3. После того, как вы определите и активируете интеграцию AWS S3, потребуется несколько минут, чтобы Cato начал загружать события в ведро S3.

Вы можете выбрать фильтрацию событий, которые загружаются в ведро S3. Например, загружайте только события IPS для вашего аккаунта в ведро S3. По умолчанию фильтрация отсутствует и все события загружаются в ведро S3.

событиеИнтеграция.png

Чтобы добавить интеграцию ведра AWS S3 для загрузки событий на ваш аккаунт:

  1. В меню навигации выберите Ресурсы > Интеграция событий.

  2. Выберите Включить интеграцию с событиями Cato.

  3. Нажмите Новый. Откроется панель Новая Интеграция.

  4. Настройте параметры для интеграции ведра S3:

    1. Введите Имя для интеграции.

    2. Введите следующие Детали соединения для интеграции на основе настроек в AWS:

      • Имя Bucket - Точное имя ведра S3

      • Папка - Точное имя пути к папке внутри ведра S3 (если необходимо)

      • Регион - Точный регион для ведра S3

        Примечание: Поддерживаются только регионы для ведер S3, где служба токенов безопасности (STS) активна.

      • Role ARN - Скопируйте и вставьте ARN для роли для ведра S3

        копироватьAWS_ARN.png

    3. (Опционально) Определите настройки фильтра для событий, которые загружаются в ведро S3.

      Когда вы определяете несколько фильтров, существует отношение И, и события, которые соответствуют всем фильтрам, загружаются.

  5. Нажмите Применить. Ведро AWS S3 теперь интегрировано с вашим аккаунтом.

    Примечание: Вы можете определить до трех интеграций событий для вашего аккаунта.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев