Integración de orígenes de datos de terceros
La integración de las canalizaciones de CloudWatch con un origen de datos de terceros le permite conectar plataformas de supervisión, proveedores de identidad y herramientas de seguridad externas a las canalizaciones de CloudWatch para un análisis de datos centralizado. Esta integración consolida los eventos de seguridad, los registros de auditoría y los datos de telemetría de varios orígenes.
nota
Los datos recopilados de orígenes de terceros se modifican para cumplir con el esquema requerido cuando los recopilan las canalizaciones de CloudWatch. CloudWatch no retiene el origen de datos original.
Los datos de terceros se pueden recopilar mediante dos métodos:
-
Integración de la API directa: algunos orígenes ofrecen API de transmisión de eventos, donde solo es necesario proporcionar las credenciales de la API para configurar el conector
-
Integración de buckets de S3: los datos de los orígenes se pueden ingerir en un bucket de S3 administrado por el cliente para que los recopilen las canalizaciones de CloudWatch
En la siguiente tabla se indican los métodos de integración que utilizan las plataformas de datos de terceros compatibles:
| Origen | Patrón de integración | Requiere un bucket de S3 | Requiere una cola de SQS | Usa la extensión de Secrets Manager | Políticas de IAM obligatorias |
|---|---|---|---|---|---|
| CrowdStrike Falcon | Entrega de S3 | Sí | Sí | No | Políticas de IAM específicas del origen |
| Microsoft Office 365 | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| Okta Auth0 | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| ID de Microsoft Entra | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| Firewall de nueva generación de Palo Alto Networks | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| Registros de eventos de Microsoft Windows | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| CNAPP de Wiz | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| Zscaler ZIA/ZPA | Entrega de S3 | Sí | Sí | No | Políticas de IAM específicas del origen |
| Okta SSO | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
| SentinelOne | Entrega de S3 | Sí | Sí | No | Políticas de IAM específicas del origen |
| GitHub | API | No | No | Sí (opcional) | Permisos para intermediarios que llaman a la API |
| CMDB de ServiceNow | API | No | No | Sí | Permisos para intermediarios que llaman a la API |
Transformación y estandarización de datos
Las integraciones de terceros admiten la transformación de datos a formatos estandarizados para un análisis coherente:
-
Marco de esquema de ciberseguridad abierto (OCSF): convierte los eventos de seguridad de diferentes proveedores en un esquema común para la detección y el análisis unificados de las amenazas. Como el OCSF es solo para determinadas clases de eventos, no todos los eventos sin procesar se asignan al OCSF.
-
Transformaciones personalizadas: procesadores de canalizaciones que normalizan formatos de datos, enriquecen eventos con un contexto adicional y filtran información pertinente.
-
Asignación de campos: asignación automática de campos específicos del proveedor a nombres de campo estandarizados para consultas y análisis coherentes.
nota
El almacenamiento de datos de telemetría de orígenes de terceros en el OCSF es una característica opcional que puede no estar disponible para todos los orígenes de datos.
Grupo de registro
Los datos de terceros se ingieren a un grupo de registro de CloudWatch. Si utiliza la Consola de administración de AWS para configurar las canalizaciones de CloudWatch si el grupo de registro no existe, se crea automáticamente mediante el proceso del asistente.
Autenticación y seguridad
Las integraciones de terceros utilizan métodos de autenticación seguros para proteger los datos en tránsito:
-
OAuth 2.0 y registro de aplicaciones: autenticación segura basada en tokens para plataformas en la nube como Microsoft y Okta.
-
Certificados y claves de API: credenciales de autenticación cifradas para el acceso directo a la API.
-
Políticas y roles de IAM: integración de AWS Identity and Access Management para un acceso al bucket de S3 y un intercambio de datos entre cuentas seguros.
nota
Los datos recopilados de orígenes de terceros se modifican para cumplir con el esquema requerido cuando los recopilan las canalizaciones de CloudWatch. CloudWatch no retiene el origen de datos original.
Cada integración requiere una configuración específica de la plataforma para establecer una entrega segura de datos al entorno de AWS.
En las siguientes secciones se proporcionan procedimientos de configuración detallados para las integraciones de terceros compatibles. Cada integración incluye requisitos previos, pasos de configuración y procedimientos de validación para garantizar un flujo de datos adecuado.
