将 Cato 事件集成到 AWS S3

本文说明如何将 Amazon Web Service (AWS) S3 存储桶与您的 Cato 账户集成,以直接将事件上传到 S3 存储桶。

事件集成概览

对于在AWS S3存储桶中查看和分析事件数据的客户,您可以配置您的Cato账户自动且持续地将事件上传到存储桶。 这与eventsFeed API不同,后者需要客户从Cato提取数据,并受限速等问题的影响。

事件以压缩的GZ格式发送,某些客户端(例如,某些浏览器)可能在不移除GZ扩展名的情况下自动解压这些文件。 如果发生这种情况,将文件扩展名更改为LOG或TXT将使文件格式与其扩展名正确对齐。

事件集成用例

示例公司正在使用IPS 可疑活动监控功能,生成大量安全事件。 他们决定创建一个 AWS S3 存储桶来存储所有的事件数据,然后可以将其与 SIEM 解决方案集成。 示例公司启用事件集成,并将S3存储桶添加为集成到他们的账户,以便所有IPS事件自动上传到S3存储桶。

先决条件

配置AWS S3存储桶

创建一个新的 S3 存储桶,并定义允许其接收数据的策略。 然后,使用Cato的角色ARN定义S3存储桶的IAM角色,以设置存储桶权限,允许Cato上传数据到存储桶。

Cato云按如下方式将数据上传到S3存储桶:每60秒一次,或者当未压缩数据超过9.5MB时(由于不同因素,有时数据在未压缩数据较少时上传)。

Cato使用HTTPS上传数据到S3存储桶。

注意

注意:

  • 仅支持为启用了安全令牌服务 (STS) 的 S3 存储桶指定区域。 有关为区域启用 STS 的更多信息,请参阅相关的 AWS 文档
  • 不支持中国 S3 区域。

要在 AWS 中配置 S3 存储桶以接收 Cato 事件数据:

  1. 使用适当的AWS 区域创建一个新的 S3 存储桶。

    1-创建存储桶.png
  2. 为 S3 存储桶创建一个新的 IAM 策略,允许将数据上传到该存储桶。

  3. 在策略中,点击JSON标签,并复制下面的Cato JSON。

    编辑 JSON,添加 S3 存储桶的名称,然后将其粘贴到标签中。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-创建策略.png

  4. 查看政策的设置,然后点击创建策略

    3-命名策略.png

  5. 创建一个具有Cato的ARN的新IAM角色,以允许Cato将您的账户事件上传到S3存储桶。

    1. 选择受信实体屏幕中,将 Cato 的 ARN 添加到角色:arn:aws:iam::428465470022:role/cato-events-integration

      {
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "Statement1",
 "Effect": "Allow",
 "Principal": {
 "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
 },
 "Condition": {"StringEquals": {"sts:ExternalId": "<CMA Account ID>"}},
 "Action": "sts:AssumeRole"
 }
 ]
}
      4-创建角色.png

      点击下一步

    2. 添加权限屏幕中,将您在步骤4中创建的策略附加到角色上。

      5-附加策略.png

      点击下一步

    3. 输入角色名称,然后点击创建角色

    AWS S3 存储桶已准备好与您的 Cato 账户集成。

    aws_done.png

添加Amazon S3事件集成

事件集成标签中为 AWS S3 存储桶创建新的集成,并将角色 ARN 添加到集成中。 此 ARN 授予 Cato 将事件数据上传到 S3 存储桶的权限。 在定义并启用 AWS S3 集成后,Cato 需要几分钟才能开始将事件上传到 S3 存储桶。

您可以选择过滤上传到S3存储桶的事件。 例如,仅将账户的 IPS 事件上传到 S3 存储桶。 默认设置为无过滤,所有事件均上传到S3存储桶。

事件集成.png

要添加 AWS S3 存储桶以上传您的账户事件:

  1. 从导航菜单中,选择 资源 > 事件集成
  2. 选择启用与 Cato 事件的集成
  3. 点击新建新集成面板打开。
  4. 配置 S3 存储桶集成的设置:
    1. 输入集成的名称

    2. 输入这些 连接详情 以根据AWS中的设置进行集成:

      • 存储桶名称 - 存储桶的相同名称
      • 文件夹 - S3存储桶内文件夹路径的相同名称(如有必要)

      • 区域 - S3存储桶的相同区域

        注意: 仅支持启用了安全令牌服务(STS)的S3存储桶区域。

      • 角色 ARN - 复制并粘贴存储桶角色的ARN

        copyAWS_ARN.png

    3. (可选) 定义上传到存储桶的事件的过滤器设置。

      当您定义多个过滤器时,会有一个AND关系,符合所有过滤器的事件会被上传。

  5. 点击应用。 AWS S3存储桶现已与你的账户集成。

    注意: 您最多可以为您的账户定义三个事件集成。

这篇文章有帮助吗?

4 人中有 3 人觉得有帮助

0 条评论