サードパーティーデータソースの統合
CloudWatch パイプラインをサードパーティーデータソースと統合することで、外部のセキュリティツール、ID プロバイダー、およびモニタリングプラットフォームを CloudWatch パイプラインに接続して、一元化されたデータ分析を行うことができます。この統合により、複数のソースからのセキュリティイベント、監査ログ、およびテレメトリデータが統合されます。
注記
サードパーティーソースから収集されたデータは、CloudWatch パイプラインによって収集されるときに、必要なスキーマに準拠するように書き換えられます。元のデータソースは CloudWatch によって保持されません。
サードパーティーデータは、次の 2 つの方法で収集できます。
-
直接の API 統合 – 一部のソースでは、コネクタの設定に API 認証情報のみを指定することを求められる Event Stream API を提供しています。
-
S3 バケット統合 – ソースからのデータをカスタマーマネージド S3 バケットに取り込み、CloudWatch パイプラインが収集できるようにします。
次の表は、サポートされているサードパーティーデータプラットフォームで使用される統合方法を示しています。
| ソース | 統合パターン | S3 バケットが必要 | SQS キューが必要 | Secrets Manager 拡張機能を使用 | 必要な IAM ポリシー |
|---|---|---|---|---|---|
| CrowdStrike Falcon | S3 配信 | はい | あり | なし | ソース固有の IAM ポリシー |
| Microsoft Office 365 | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Okta Auth0 | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Microsoft Entra ID | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Palo Alto Networks 次世代ファイアウォール | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Microsoft Windows イベントログ | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Wiz CNAPP | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| Zscaler ZIA/ZPA | S3 配信 | はい | あり | なし | ソース固有の IAM ポリシー |
| Okta SSO | API | いいえ | なし | はい | API 発信者のアクセス許可 |
| SentinelOne | S3 配信 | はい | あり | なし | ソース固有の IAM ポリシー |
| GitHub | API | いいえ | 不可 | はい (オプション) | API 発信者のアクセス許可 |
| ServiceNow CMDB | API | いいえ | なし | はい | API 発信者のアクセス許可 |
データ変換と標準化
サードパーティー統合は標準化された形式へのデータ変換をサポートし、一貫した分析を実現します。
-
Open Cybersecurity Schema Framework (OCSF) – さまざまなベンダーのセキュリティイベントを共通のスキーマに変換して、脅威の検出と分析を統合します。OCSF は特定のイベントクラスのみを対象としているため、すべての未加工イベントが OCSF にマッピングされるわけではありません。
-
カスタム変換 – データ形式を正規化し、追加のコンテキストでイベントを強化し、関連情報をフィルタリングするパイプラインプロセッサにおいて実行されます。
-
フィールドマッピング – 一貫したクエリと分析のために、ベンダー固有のフィールドを標準化されたフィールド名に自動的にマッピングします。
注記
サードパーティーソースからのテレメトリデータを OCSF に保存する機能はオプションであり、すべてのデータソースで使用できるとは限りません。
ロググループ
サードパーティーデータは CloudWatch ロググループに取り込まれます。AWS マネジメントコンソール を使用して CloudWatch パイプラインを設定している場合、ロググループが存在しない場合は、ウィザードプロセスによって自動的に作成されます。
認証とセキュリティ
サードパーティー統合では、転送中のデータを保護するためにセキュアな認証方法が使用されます。
-
OAuth 2.0 とアプリケーション登録 – Microsoft や Okta などのクラウドプラットフォーム用のセキュアなトークンベースの認証。
-
API キーと証明書 – 直接 API アクセスのための暗号化された認証用の認証情報。
-
IAM ロールとポリシー – セキュアな S3 バケットアクセスとクロスアカウントデータ共有を実現する AWS Identity and Access Management 統合。
注記
サードパーティーソースから収集されたデータは、CloudWatch パイプラインによって収集されるときに、必要なスキーマに準拠するように書き換えられます。元のデータソースは CloudWatch によって保持されません。
各統合には、AWS 環境へのセキュアなデータ配信を確立するためのプラットフォーム固有の設定が必要です。
以下のセクションでは、サポートされているサードパーティー統合の詳細なセットアップ手順について説明します。各統合には、適切なデータフローを確保するための前提条件、設定ステップ、および検証手順が含まれています。
