# 서드 파티 데이터 소스 통합 CloudWatch 파이프라인을 서드 파티 데이터 소스와 통합하면 외부 보안 도구, ID 제공업체, 모니터링 플랫폼을 CloudWatch 파이프라인에 연결하여 중앙 집중식 데이터 분석을 수행할 수 있습니다. 이러한 통합을 실행하면 여러 소스의 보안 이벤트, 감사 로그, 원격 분석 데이터가 통합됩니다. **참고** 서드 파티 소스에서 수집된 데이터는 CloudWatch 파이프라인에서 데이터 수집 시 필요한 스키마를 준수하도록 변형됩니다. 원본 데이터 소스는 CloudWatch에 보관되지 않습니다. 서드 파티 데이터는 다음과 같은 2가지 방법을 사용하여 수집할 수 있습니다. 1. **직접 API 통합** - 일부 소스는 이벤트 스트림 API를 제공합니다. 이 경우 API 자격 증명만 제공하면 커넥터를 구성할 수 있습니다. 1. **S3 버킷 통합** - 소스의 데이터를 고객 관리형 S3 버킷에 수집할 수 있으며, 이렇게 하면 CloudWatch 파이프라인이 데이터를 수집할 수 있습니다. 아래 표에는 지원되는 서드 파티 데이터 플랫폼에서 사용하는 통합 방법이 구분되어 있습니다. | 소스 | 통합 패턴 | S3 버킷 필요 | SQS 대기열 필요 | Secrets Manager 확장 사용 | 필수 IAM 정책 | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | S3 전송 | 예 | 예 | 아니요 | [소스별 IAM 정책](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Entra ID | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Palo Alto Networks Next Generation Firewall | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Windows 이벤트 로그 | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Wiz CNAPP | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | S3 전송 | 예 | 예 | 아니요 | [소스별 IAM 정책](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | S3 전송 | 예 | 예 | 아니요 | [소스별 IAM 정책](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | API | 아니요 | 아니요 | 예(선택 사항) | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | ServiceNow CMDB | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | S3 전송 | 예 | 예 | 아니요 | [소스별 IAM 정책](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin Identity | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Entrust IDaaS | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | | Drupal Core | API | 아니요 | 아니요 | 예 | [API 호출자 권한](pipeline-iam-reference.md#api-caller-permissions) | Security Hub CSPM을 통해 전송된 타사 통합도 지원됩니다. 지원되는 파트너 및 “조사 결과 전송” 방향의 통합 구성을 포함하여 Security Hub의 타사 통합에 대한 포괄적인 정보는 [Security Hub 타사 통합 설명서](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)를 참조하세요. 또한 AWS Security Hub(Security Hub CSPM과 다름)는 서드 파티 통합을 데이터 소스로 지원합니다. 지원되는 통합의 전체 목록은 [Security Hub third-party integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html) 설명서를 참조하세요. **데이터 변환 및 표준화** 서드 파티 통합 시 일관된 분석을 위해 표준화된 형식으로 데이터 변환을 지원합니다. + **OCSF(Open Cybersecurity Schema Framework)** - 다양한 공급업체의 보안 이벤트를 통합 위협 탐지 및 분석을 위한 공통 스키마로 변환합니다. OCSF는 특정 이벤트 클래스에만 적용되므로, 모든 원시 이벤트가 OCSF에 매핑되는 것은 아닙니다. + **사용자 지정 변환** - 데이터 형식을 정규화하고, 추가 컨텍스트로 이벤트를 보강하고, 관련 정보를 필터링하는 파이프라인 프로세서입니다. + **필드 매핑** - 일관된 쿼리 및 분석을 위해 공급업체별 필드를 표준화된 필드 이름에 자동으로 매핑합니다. **참고** 서드 파티 소스의 원격 분석 데이터를 OCSF에 저장하는 것은 선택적 기능으로, 일부 데이터 소스에서는 이 기능을 사용하지 못할 수도 있습니다. **로그 그룹:** 서드 파티 데이터는 CloudWatch 로그 그룹에 수집됩니다. 로그 그룹이 없는 경우 AWS Management Console을 사용하여 CloudWatch 파이프라인을 구성하면 마법사 프로세스를 통해 로그 그룹이 자동으로 생성됩니다. **인증 및 보안** 서드 파티 통합에서는 보안 인증 방법을 사용하여 전송 중 데이터를 보호합니다. + **OAuth 2.0 및 애플리케이션 등록** - Microsoft 및 Okta 같은 클라우드 플랫폼에 대한 보안 토큰 기반 인증입니다. + **API 키 및 인증서** - 직접 API 액세스를 위한 암호화된 인증 자격 증명입니다. + **IAM 역할 및 정책** - 안전한 S3 버킷 액세스 및 교차 계정 데이터 공유를 위한 AWS Identity and Access Management 통합입니다. **참고** 서드 파티 소스에서 수집된 데이터는 CloudWatch 파이프라인에서 데이터 수집 시 필요한 스키마를 준수하도록 변형됩니다. 원본 데이터 소스는 CloudWatch에 보관되지 않습니다. 매번 통합을 할 때마다 AWS 환경으로 안전한 데이터 전송을 설정하기 위한 플랫폼별 구성이 필요합니다. 다음 섹션에서는 지원되는 서드 파티 통합에 대한 자세한 설정 절차를 제공합니다. 각 통합에는 올바른 데이터 흐름을 보장하기 위한 사전 조건, 구성 단계, 검증 절차가 포함되어 있습니다.