Интеграция событий Cato с AWS S3

Обзор интеграции событий

Организации, которые хранят и управляют данными событий в AWS S3 Bucket, могут настроить свою учетную запись Cato для их автоматической и непрерывной загрузки. 

Эта интеграция непрерывно отправляет события напрямую из Cato Cloud в учетную запись хранилища, в отличие от API eventsFeed, который требует извлечения данных из Cato и может быть затронут ограничением скорости.

Cato Cloud загружает данные в учетную запись хранилища каждые 60 секунд или как только накопится более 9,5 МБ несжатых данных. Данные передаются безопасно через HTTPS.

События загружаются в сжатом формате .GZ, некоторые клиенты (например, определенные браузеры) могут автоматически распаковать эти файлы без удаления расширения .GZ. Если это происходит, изменение расширения файла на LOG или TXT корректно согласует формат файла с его расширением.

Использование кейса для интеграции событий

Пример компании использует функцию мониторинга подозрительной активности IPS, которая генерирует множество событий безопасности. Они решают создать корзину AWS S3, чтобы хранить все данные о событиях, которые затем можно интегрировать с их решением SIEM. Примерная компания включает Интеграцию событий и добавляет бакет S3 в свою учетную запись Cato, чтобы все события IPS автоматически загружались в бакет S3.

Требования

Настройка ведра AWS S3

Создайте новую корзину S3 и определите политику, позволяющую ей получать данные. Затем определите роль IAM для S3 Bucket с Role ARN Cato, чтобы установить разрешения Bucket, позволяющие Cato загружать данные в Bucket.

Облако Cato загружает данные в ведро S3 следующим образом: каждые 60 секунд или при наличии более 9,5 МБ несжатых данных (из-за различных факторов иногда данные загружаются с меньшим объемом несжатых данных).

Cato использует HTTPS для загрузки данных в S3 Bucket.

Примечание

Примечания:

  • Поддерживаются только регионы для бакетов S3, в которых активна служба Security Token Service (STS). Для получения дополнительной информации о включении STS для региона смотрите соответствующую документацию AWS.
  • Регион S3 в Китае не поддерживается.

Для настройки корзины S3 в AWS для получения данных о событиях Cato:

  1. Создайте новую корзину S3 в соответствующем Регионе AWS.

    1-создать_бакет.png
  2. Создайте новую политику IAM для корзины S3, которая позволяет загружать данные в корзину.

  3. В политике нажмите на вкладку JSON и скопируйте ниже JSON от Cato.

    Редактируйте JSON и добавьте название для корзины S3, затем вставьте его в вкладку.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Разрешить",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-создать_политику.png

  4. Просмотрите настройки для политики и нажмите Создать политику.

    3-назвать_политику.png

  5. Создайте новую роль IAM с ARN Cato, чтобы разрешить Cato загружать события для вашей учетной записи в ведро S3.

    1. На экране Выбор доверенного субъекта добавьте ARN Cato в роль: arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-создать_роль.png

      Нажмите Далее.

    2. На экране Добавить разрешения прикрепите политику, которую вы создали на шаге 4, к роли.

      5-присоединить_политику.png

      Нажмите Далее.

    3. Введите Имя роли и нажмите Создать роль.

    Ведро AWS S3 готово к интеграции с вашим аккаунтом Cato.

    aws_done.png

Добавление Интеграции событий для Amazon S3

Создайте новую интеграцию для бакета AWS S3 на вкладке Интеграция событий и добавьте ARN роли в интеграцию. Этот ARN дает Cato разрешение на загрузку данных события в ведро S3. 

После того, как вы определите и активируете интеграцию AWS S3, потребуется несколько минут, чтобы Cato начал загружать события в ведро S3.

Вы можете фильтровать события, загружаемые в бакет S3, по типу события или подтипу. Например, вы можете загружать только события IPS для вашей учетной записи. По умолчанию фильтр не применяется и все события загружаются в бакет S3.

событиеИнтеграция.png

Чтобы добавить интеграцию ведра AWS S3 для загрузки событий на ваш аккаунт:

  1. В меню навигации выберите Ресурсы > Интеграция событий.
  2. Выберите Включить интеграцию с событиями Cato.
  3. Нажмите Новый. Откроется панель Новая Интеграция.
  4. Настройте параметры для интеграции ведра S3:
    1. Введите Имя для интеграции.

    2. Введите следующие Детали соединения для интеграции на основе настроек в AWS:

      • Имя Bucket - Точное имя ведра S3
      • Папка - Точное имя пути к папке внутри ведра S3 (если необходимо)

      • Регион - Точный регион для ведра S3

        Примечание: Поддерживаются только регионы для ведер S3, где активен Сервис Токен Безопасности (STS).

      • Role ARN - Скопируйте и вставьте ARN для роли для ведра S3

        копироватьAWS_ARN.png

    3. (Опционально) Определите настройки фильтра для событий, которые загружаются в ведро S3.

      Когда вы определяете несколько фильтров, существует отношение И, и события, которые соответствуют всем фильтрам, загружаются.

  5. Нажмите Применить. Ведро AWS S3 теперь интегрировано с вашим аккаунтом.

    Примечание: Вы можете определить до трех интеграций событий для вашей учетной записи.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 4

0 комментариев