Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integrazione di fonti di dati di terze parti
L'integrazione delle CloudWatch pipeline con la fonte di dati di terze parti consente di collegare strumenti di sicurezza esterni, provider di identità e piattaforme di monitoraggio alle CloudWatch pipeline per l'analisi centralizzata dei dati. Questa integrazione consolida gli eventi di sicurezza, i registri di controllo e i dati di telemetria provenienti da più fonti.
Nota
I dati raccolti da fonti di terze parti vengono modificati per aderire allo schema richiesto quando vengono raccolti dalle pipeline. CloudWatch L'origine dati originale non viene conservata da. CloudWatch
I dati di terze parti possono essere raccolti utilizzando due metodi:
-
Integrazione diretta delle API: alcune fonti offrono Event Stream, APIs in cui è sufficiente fornire le credenziali API per configurare il connettore
-
Integrazione con S3 Bucket: i dati provenienti dalle fonti possono essere inseriti in un bucket S3 gestito dal cliente per consentirne la raccolta nelle pipeline CloudWatch
La tabella seguente identifica i metodi di integrazione utilizzati dalle piattaforme di dati di terze parti supportate:
| Origine | Modello di integrazione | Richiede un bucket S3 | Richiede SQS Queue | Utilizza l'estensione Secrets Manager | Politiche IAM richieste |
|---|---|---|---|---|---|
| CrowdStrike Falcon | Consegna S3 | Sì | Sì | No | Politiche IAM specifiche della fonte |
| Microsoft Office 365 | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
| ID Microsoft Entra | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
| Firewall di nuova generazione di Palo Alto Networks | "Hello, World!" | No | No | Sì | Autorizzazioni API per chi chiama |
| Registri eventi di Microsoft Windows | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
| Wiz CNAPP | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
| Zscaler ZIA/ZPA | Consegna S3 | Sì | Sì | No | Politiche IAM specifiche della fonte |
| Okta SSO | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
| SentinelOne | Consegna S3 | Sì | Sì | No | Politiche IAM specifiche della fonte |
| GitHub | "Hello, World!" | No | No | Sì (facoltativo) | Autorizzazioni API per i chiamanti |
| ServiceNow CMDB | "Hello, World!" | No | No | Sì | Autorizzazioni API per i chiamanti |
Trasformazione e standardizzazione dei dati
Le integrazioni di terze parti supportano la trasformazione dei dati in formati standardizzati per un'analisi coerente:
-
Open Cybersecurity Schema Framework (OCSF): converte gli eventi di sicurezza di diversi fornitori in uno schema comune per il rilevamento e l'analisi unificati delle minacce. Poiché OCSF è destinato solo a determinate classi di eventi, non tutti gli eventi non elaborati sono mappati su OCSF.
-
Trasformazioni personalizzate: processori Pipeline che normalizzano i formati di dati, arricchiscono gli eventi con un contesto aggiuntivo e filtrano le informazioni pertinenti.
-
Mappatura dei campi: mappatura automatica dei campi specifici del fornitore su nomi di campo standardizzati per interrogazioni e analisi coerenti.
Nota
La memorizzazione dei dati di telemetria da fonti di terze parti in OCSF è una funzionalità opzionale che potrebbe non essere disponibile per tutte le fonti di dati.
Gruppo di log
I dati di terze parti vengono inseriti in un gruppo di CloudWatch log. Se si utilizza il Console di gestione AWS per configurare le CloudWatch pipeline se il gruppo di log non esiste, viene creato automaticamente tramite la procedura guidata.
Autenticazione e sicurezza
Le integrazioni di terze parti utilizzano metodi di autenticazione sicuri per proteggere i dati in transito:
-
OAuth 2.0 e registrazione delle applicazioni: autenticazione sicura basata su token per piattaforme cloud come Microsoft e Okta.
-
Chiavi e certificati API: credenziali di autenticazione crittografate per l'accesso diretto alle API.
-
Ruoli e policy IAM: integrazione di AWS Identity and Access Management per l'accesso sicuro ai bucket S3 e la condivisione dei dati tra account.
Nota
I dati raccolti da fonti di terze parti vengono modificati per aderire allo schema richiesto quando vengono raccolti dalle pipeline. CloudWatch L'origine dati originale non viene conservata da. CloudWatch
Ogni integrazione richiede una configurazione specifica della piattaforma per stabilire una distribuzione sicura dei dati all'ambiente. AWS
Le seguenti sezioni forniscono procedure di configurazione dettagliate per le integrazioni di terze parti supportate. Ogni integrazione include prerequisiti, passaggi di configurazione e procedure di convalida per garantire un flusso di dati adeguato.
