서드 파티 데이터 소스 통합
CloudWatch 파이프라인을 서드 파티 데이터 소스와 통합하면 외부 보안 도구, ID 제공업체, 모니터링 플랫폼을 CloudWatch 파이프라인에 연결하여 중앙 집중식 데이터 분석을 수행할 수 있습니다. 이러한 통합을 실행하면 여러 소스의 보안 이벤트, 감사 로그, 원격 분석 데이터가 통합됩니다.
참고
서드 파티 소스에서 수집된 데이터는 CloudWatch 파이프라인에서 데이터 수집 시 필요한 스키마를 준수하도록 변형됩니다. 원본 데이터 소스는 CloudWatch에 보관되지 않습니다.
서드 파티 데이터는 다음과 같은 2가지 방법을 사용하여 수집할 수 있습니다.
-
직접 API 통합 - 일부 소스는 이벤트 스트림 API를 제공합니다. 이 경우 API 자격 증명만 제공하면 커넥터를 구성할 수 있습니다.
-
S3 버킷 통합 - 소스의 데이터를 고객 관리형 S3 버킷에 수집할 수 있으며, 이렇게 하면 CloudWatch 파이프라인이 데이터를 수집할 수 있습니다.
아래 표에는 지원되는 서드 파티 데이터 플랫폼에서 사용하는 통합 방법이 구분되어 있습니다.
| 소스 | 통합 패턴 | S3 버킷 필요 | SQS 대기열 필요 | Secrets Manager 확장 사용 | 필수 IAM 정책 |
|---|---|---|---|---|---|
| CrowdStrike Falcon | S3 전송 | 예 | 예 | 아니요 | 소스별 IAM 정책 |
| Microsoft Office 365 | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Okta Auth0 | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Microsoft Entra ID | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Palo Alto Networks Next Generation Firewall | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Microsoft Windows 이벤트 로그 | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Wiz CNAPP | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| Zscaler ZIA/ZPA | S3 전송 | 예 | 예 | 아니요 | 소스별 IAM 정책 |
| Okta SSO | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
| SentinelOne | S3 전송 | 예 | 예 | 아니요 | 소스별 IAM 정책 |
| GitHub | API | 아니요 | 아니요 | 예(선택 사항) | API 호출자 권한 |
| ServiceNow CMDB | API | 아니요 | 아니요 | 예 | API 호출자 권한 |
데이터 변환 및 표준화
서드 파티 통합 시 일관된 분석을 위해 표준화된 형식으로 데이터 변환을 지원합니다.
-
OCSF(Open Cybersecurity Schema Framework) - 다양한 공급업체의 보안 이벤트를 통합 위협 탐지 및 분석을 위한 공통 스키마로 변환합니다. OCSF는 특정 이벤트 클래스에만 적용되므로, 모든 원시 이벤트가 OCSF에 매핑되는 것은 아닙니다.
-
사용자 지정 변환 - 데이터 형식을 정규화하고, 추가 컨텍스트로 이벤트를 보강하고, 관련 정보를 필터링하는 파이프라인 프로세서입니다.
-
필드 매핑 - 일관된 쿼리 및 분석을 위해 공급업체별 필드를 표준화된 필드 이름에 자동으로 매핑합니다.
참고
서드 파티 소스의 원격 분석 데이터를 OCSF에 저장하는 것은 선택적 기능으로, 일부 데이터 소스에서는 이 기능을 사용하지 못할 수도 있습니다.
로그 그룹:
서드 파티 데이터는 CloudWatch 로그 그룹에 수집됩니다. 로그 그룹이 없는 경우 AWS Management Console을 사용하여 CloudWatch 파이프라인을 구성하면 마법사 프로세스를 통해 로그 그룹이 자동으로 생성됩니다.
인증 및 보안
서드 파티 통합에서는 보안 인증 방법을 사용하여 전송 중 데이터를 보호합니다.
-
OAuth 2.0 및 애플리케이션 등록 - Microsoft 및 Okta 같은 클라우드 플랫폼에 대한 보안 토큰 기반 인증입니다.
-
API 키 및 인증서 - 직접 API 액세스를 위한 암호화된 인증 자격 증명입니다.
-
IAM 역할 및 정책 - 안전한 S3 버킷 액세스 및 교차 계정 데이터 공유를 위한 AWS Identity and Access Management 통합입니다.
참고
서드 파티 소스에서 수집된 데이터는 CloudWatch 파이프라인에서 데이터 수집 시 필요한 스키마를 준수하도록 변형됩니다. 원본 데이터 소스는 CloudWatch에 보관되지 않습니다.
매번 통합을 할 때마다 AWS 환경으로 안전한 데이터 전송을 설정하기 위한 플랫폼별 구성이 필요합니다.
다음 섹션에서는 지원되는 서드 파티 통합에 대한 자세한 설정 절차를 제공합니다. 각 통합에는 올바른 데이터 흐름을 보장하기 위한 사전 조건, 구성 단계, 검증 절차가 포함되어 있습니다.
