将 Cato 事件集成到 AWS S3

Amazon S3 事件集成概览

将事件数据存储和管理在 AWS S3 存储桶中的组织可以配置它们的 Cato 账户，以自动且持续地将事件上传到存储桶。

此集成将事件直接从 Cato 云推送到 S3 存储桶, 与 eventsFeed API 不同, 后者需要从 Cato 拉取数据, 并可能受到速率限制影响。

Cato 云每 60 秒上传数据到 S3 存储桶, 或当未压缩的数据超过 9.5 MB 时上传。数据通过 HTTPS 进行安全传输。

事件以 .GZ 压缩格式上传。某些客户端，例如某些浏览器，可能会自动解压这些文件，但不删除 .GZ 扩展名。如果发生这种情况，将文件扩展名更改为LOG或TXT将使文件格式与其扩展名正确对齐。

事件集成用例

示例公司使用 IPS 可疑活动监控功能，生成大量安全事件。他们决定创建一个 AWS S3 存储桶来存储所有的事件数据，然后可以将其与 SIEM 解决方案集成。示例公司启用事件集成，并将 S3 存储桶作为集成添加到他们的 Cato 账户，以便所有 IPS 事件自动上传到 S3 存储桶。

先决条件

在事件集成入门中，查看所有 Cato 事件集成的前提条件

配置AWS S3存储桶

创建一个 S3 存储桶并定义一个 IAM 策略，允许 Cato 上传事件数据。然后创建一个具有 Cato 角色 ARN 的 IAM 角色，并将策略附加到该角色。

Cato 云每 60 秒上传数据到 S3 存储桶, 或当未压缩的数据超过 9.5 MB 时上传。根据不同因素，数据有时可以在达到 9.5 MB 之前上传。

Cato使用HTTPS上传数据到S3存储桶。

注意

注意：

仅支持为启用了安全令牌服务 (STS) 的 S3 存储桶指定区域。有关为区域启用 STS 的更多信息，请参阅相关的 AWS 文档。
不支持中国 S3 区域。

要在 AWS 中配置 S3 存储桶以接收 Cato 事件数据：

使用适当的AWS 区域创建一个新的 S3 存储桶。
为 S3 存储桶创建一个新的 IAM 策略，允许将数据上传到该存储桶。

在策略中，点击JSON标签，并复制下面的Cato JSON。

编辑 JSON，添加 S3 存储桶的名称，然后将其粘贴到标签中。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}

查看政策的设置，然后点击创建策略。
创建一个具有Cato的ARN的新IAM角色，以允许Cato将您的账户事件上传到S3存储桶。
1. 在 选择可信实体 页面中，添加 Cato 的 ARN 到角色：arn:aws:iam::428465470022:role/cato-events-integration
```
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "Statement1",
 "Effect": "Allow",
 "Principal": {
 "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
 },
 "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
 "Action": "sts:AssumeRole"
 }
 ]
}
```
  点击下一步。
2. 在 添加权限 页面中，附加您之前创建的策略到该角色。
  
  点击下一步。
3. 输入角色名称，然后点击创建角色。
AWS S3 存储桶已准备好与您的 Cato 账户集成。

添加Amazon S3的事件集成

在事件集成标签页中，为AWS S3存储桶创建新集成，并将角色ARN添加到集成中。此 ARN 授予 Cato 将事件数据上传到 S3 存储桶的权限。

在定义并启用 AWS S3 集成后，Cato 需要几分钟才能开始将事件上传到 S3 存储桶。

您可以按事件类型或子类型过滤上传到S3存储桶的事件。例如，您可以仅上传账户的IPS事件。默认情况下，不应用过滤器，所有事件上传到S3存储桶。

要添加 AWS S3 存储桶以上传您的账户事件：

从导航菜单中，选择 资源 > 事件集成。
选择启用与 Cato 事件的集成。
点击新建。 新集成面板打开。
配置 S3 存储桶集成的设置：
1. 输入集成的名称。
2. 输入这些 连接详情 以根据AWS中的设置进行集成：
  - 存储桶名称 - S3 存储桶的精确名称
  - 文件夹 - S3 存储桶中的文件夹路径，如果必要
  - 区域 - 托管 S3 存储桶的区域
    
    注意： 仅支持启用了安全令牌服务（STS）的S3存储桶区域。
  - 角色 ARN - 复制并粘贴存储桶角色的ARN
3. （可选） 定义上传到存储桶的事件的过滤器设置。
  
  当您定义多个过滤器时，会有一个AND关系，符合所有过滤器的事件会被上传。
点击应用。 AWS S3存储桶现已与你的账户集成。

注意: 您可以为您的账户定义最多三个事件集成。