Integração de fontes de dados de terceiros
A integração dos pipelines do CloudWatch com a fonte de dados de terceiros permite conectar ferramentas de segurança, provedores de identidade e plataformas de monitoramento externas com pipelines do CloudWatch para análise centralizada de dados. Essa integração consolida eventos de segurança, logs de auditoria e dados de telemetria de várias fontes.
nota
Os dados coletados de fontes de terceiros são modificados para aderir ao esquema exigido quando são coletados pelos pipelines do CloudWatch. A fonte de dados original não é retida pelo CloudWatch.
Os dados de terceiros podem ser coletados usando dois métodos:
-
Integração direta com a API: algumas fontes oferecem Event Stream APIs, nas quais você precisa apenas fornecer as credenciais da API para configurar o conector
-
Integração de buckets do S3: os dados das fontes podem ser ingeridos em um bucket do S3 gerenciado pelo cliente para os pipelines do CloudWatch coletarem
A seguinte tabela identificou os métodos de integração usados pelas plataformas de dados de terceiros compatíveis:
| Origem | Padrão de integração | Exige bucket do S3 | Exige fila do SQS | Usa a extensão Secrets Manager | Políticas do IAM exigidas |
|---|---|---|---|---|---|
| CrowdStrike Falcon | Entrega do S3 | Sim | Sim | Não | Políticas do IAM específicas da fonte |
| Microsoft Office 365 | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Okta Auth0 | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Microsoft Entra ID | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Next-Generation Firewall da Palo Alto Networks | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Logs do Microsoft Windows Events | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Wiz CNAPP | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| Zscaler ZIA/ZPA | Entrega do S3 | Sim | Sim | Não | Políticas do IAM específicas da fonte |
| Okta SSO | solicitações de | Não | Não | Sim | Permissões do chamador de API |
| SentinelOne | Entrega do S3 | Sim | Sim | Não | Políticas do IAM específicas da fonte |
| GitHub | solicitações de | Não | Não | Sim (opcional) | Permissões do chamador de API |
| ServiceNow CMDB | solicitações de | Não | Não | Sim | Permissões do chamador de API |
Transformação e padronização de dados
As integrações de terceiros são compatíveis com transformação de dados em formatos padronizados para permitir uma análise consistente:
-
Open Cybersecurity Schema Framework (OCSF): converte eventos de segurança de diferentes fornecedores em um esquema comum para detecção e análise de ameaças unificadas. Como o OCSF é apenas para determinadas classes de eventos, nem todos os eventos brutos são mapeados para OCSF.
-
Transformações personalizadas: processadores do pipeline que normalizam formatos de dados, enriquecem eventos com contexto adicional e filtram informações relevantes.
-
Mapeamento de campos: mapeamento automático de campos específicos do fornecedor para nomes de campo padronizados para garantir consultas e análises consistentes.
nota
O armazenamento de dados de telemetria de fontes de terceiros em OCSF é um atributo opcional que pode não estar disponível para todas as fontes de dados.
Grupo de logs
Dados de terceiros são ingeridos em um grupo de logs do CloudWatch. Se você usar o Console de gerenciamento da AWS para configurar os pipelines do CloudWatch e o grupo de logs não existir, ele será criado automaticamente pelo processo do assistente.
Autenticação e segurança
As integrações de terceiros usam métodos de autenticação seguros para proteger dados em trânsito:
-
OAuth 2.0 e registro de aplicação: autenticação segura baseada em token para plataformas de nuvem como Microsoft e Okta.
-
Chaves e certificados de API: credenciais de autenticação criptografadas para acesso direto à API.
-
Perfis e políticas do IAM: integração do AWS Identity and Access Management para acesso seguro a buckets do S3 e compartilhamento de dados entre contas.
nota
Os dados coletados de fontes de terceiros são modificados para aderir ao esquema exigido quando são coletados pelos pipelines do CloudWatch. A fonte de dados original não é retida pelo CloudWatch.
Cada integração exige uma configuração específica da plataforma para estabelecer a entrega segura de dados ao ambiente da AWS.
As seções a seguir fornecem procedimentos detalhados de configuração para integrações de terceiros compatíveis. Cada integração inclui pré-requisitos, etapas de configuração e procedimentos de validação para garantir o fluxo de dados adequado.
