将 Cato 事件集成到 AWS S3

本文说明如何将 Amazon Web Service (AWS) S3 存储桶与您的 Cato 账户集成,以直接将事件上传到 S3 存储桶。

事件集成概览

对于在 AWS S3 存储桶中审查和分析事件数据的客户,可以配置您的 Cato 账户以自动和持续地将事件上传到存储桶。 这与eventsFeed API不同,该 API 需要客户从 Cato 拉取数据,并受限于速率限制等问题的影响。

注意

注意: 您最多可以为您的账户定义三个事件集成。

事件集成使用案例

示例公司正在使用IPS 可疑活动监控功能,该功能会生成大量的安全事件。 他们决定创建一个 AWS S3 存储桶来存储所有的事件数据,然后可以将其与 SIEM 解决方案集成。 示例公司启用事件集成,并将 S3 存储桶添加为其 Cato 账户的集成,以便所有 IPS 事件自动上传到 S3 存储桶。

配置 AWS S3 存储桶

创建一个新的 S3 存储桶,并定义允许其接收数据的策略。 然后,使用 Cato 的角色 ARN 为 S3 存储桶定义 IAM 角色,以设置存储桶权限,允许 Cato 将数据上传到存储桶。

Cato Cloud 每隔 60 秒上传数据到 S3 存储桶,或者当数据量超过 10MB 时上传。 Cato 使用 HTTPS 将数据上传到 S3 存储桶。

注意

注意:

  • 仅支持安全令牌服务 (STS) 处于活跃状态的 S3 存储桶区域。

    有关为区域启用 STS 的更多信息,请参阅AWS 文档

  • 注意: 如果第三方服务的访问功能限制在特定的 IP 地址,请参阅此文章以获取需要允许的 Cato IP 地址列表(您必须登录才能查看此文章)。

要在 AWS 中配置 S3 存储桶以接收 Cato 事件数据:

  1. 使用适当的AWS 区域创建一个新的 S3 存储桶。

    1-创建存储桶.png

  2. 为 S3 存储桶创建一个新的 IAM 策略,允许将数据上传到该存储桶。

  3. 在策略中,点击JSON标签,并复制下面的 Cato JSON。

    编辑 JSON,添加 S3 存储桶的名称,然后将其粘贴到标签中。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>"
            ]
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket name>/*"
            ]
        }
    ]
}
    2-创建策略.png

  4. 查看政策的设置,然后点击创建策略

    3-命名策略.png

  5. 使用 Cato 的 ARN 创建一个新的 IAM 角色,以允许 Cato 为您的账户将事件上传到 S3 存储桶。

    1. 选择受信实体屏幕中,将 Cato 的 ARN 添加到角色:arn:aws:iam::428465470022:role/cato-events-integration

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
      4-创建角色.png

      点击下一步

    2. 添加权限屏幕中,将您在步骤4中创建的策略附加到角色上。

      5-附加策略.png

      点击下一步

    3. 输入角色名称,然后点击创建角色

      6-角色命名.png

    AWS S3 存储桶已准备好与您的 Cato 账户集成。

添加 Amazon S3 事件集成

事件集成标签中为 AWS S3 存储桶创建新的集成,并将角色 ARN 添加到集成中。 此 ARN 授予 Cato 将事件数据上传到 S3 存储桶的权限。 在定义并启用 AWS S3 集成后,Cato 需要几分钟才能开始将事件上传到 S3 存储桶。

您可以选择过滤上传到 S3 存储桶的事件。 例如,仅将账户的 IPS 事件上传到 S3 存储桶。 默认设置为无过滤器,所有事件均上传到 S3 存储桶。

事件集成.png

要添加 AWS S3 存储桶以上传您的账户事件:

  1. 从导航菜单中,选择 资源 > 事件集成

  2. 选择启用与 Cato 事件的集成

  3. 点击新建新集成面板打开。

  4. 配置 S3 存储桶集成的设置:

    1. 输入集成的名称

    2. 输入这些 连接详情 以根据AWS中的设置进行集成:

      • 存储桶名称 - 存储桶的相同名称

      • 文件夹 - S3存储桶内文件夹路径的相同名称(如有必要)

      • 区域 - S3存储桶的相同区域

        注意: 仅支持S3存储桶中安全令牌服务(STS)激活的区域。

      • 角色 ARN - 复制并粘贴存储桶角色的ARN

        copyAWS_ARN.png

    3. (可选) 定义上传到存储桶的事件的过滤器设置。

      当您定义多个过滤器时,会有一个AND关系,符合所有过滤器的事件会被上传。

  5. 点击应用。 AWS S3存储桶现已与你的账户集成。

    注意: 您可以为您的账户最多定义三个事件集成。

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论