# Integração de fontes de dados de terceiros A integração dos pipelines do CloudWatch com a fonte de dados de terceiros permite conectar ferramentas de segurança, provedores de identidade e plataformas de monitoramento externas com pipelines do CloudWatch para análise centralizada de dados. Essa integração consolida eventos de segurança, logs de auditoria e dados de telemetria de várias fontes. **nota** Os dados coletados de fontes de terceiros são modificados para aderir ao esquema exigido quando são coletados pelos pipelines do CloudWatch. A fonte de dados original não é retida pelo CloudWatch. Os dados de terceiros podem ser coletados usando dois métodos: 1. **Integração direta com a API**: algumas fontes oferecem Event Stream APIs, nas quais você precisa apenas fornecer as credenciais da API para configurar o conector 1. **Integração de buckets do S3**: os dados das fontes podem ser ingeridos em um bucket do S3 gerenciado pelo cliente para os pipelines do CloudWatch coletarem A seguinte tabela identificou os métodos de integração usados pelas plataformas de dados de terceiros compatíveis: | Origem | Padrão de integração | Exige bucket do S3 | Exige fila do SQS | Usa a extensão Secrets Manager | Políticas do IAM exigidas | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | Entrega do S3 | Sim | Sim | Não | [Políticas do IAM específicas da fonte](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Entra ID | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Next-Generation Firewall da Palo Alto Networks | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Logs do Microsoft Windows Events | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Wiz CNAPP | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | Entrega do S3 | Sim | Sim | Não | [Políticas do IAM específicas da fonte](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | Entrega do S3 | Sim | Sim | Não | [Políticas do IAM específicas da fonte](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | solicitações de | Não | Não | Sim (opcional) | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | ServiceNow CMDB | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | Entrega do S3 | Sim | Sim | Não | [Políticas do IAM específicas da fonte](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin Identity | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Entrust IDaaS | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | | Drupal Core | solicitações de | Não | Não | Sim | [Permissões do chamador de API](pipeline-iam-reference.md#api-caller-permissions) | A integração de terceiros enviada pelo Security Hub CSPM também é compatível. Para obter informações abrangentes sobre as integrações de terceiros do Security Hub, incluindo parceiros com suporte e configurações de integração com a orientação “Envia descobertas”, consulte a [documentação de integração de terceiros do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). O AWS Security Hub (diferente do Security Hub CSPM) também é compatível com integrações de terceiros como fontes de dados. Para obter a lista completa das integrações compatíveis, consulte a documentação [Integrações de terceiros do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html). **Transformação e padronização de dados** As integrações de terceiros são compatíveis com transformação de dados em formatos padronizados para permitir uma análise consistente: + **Open Cybersecurity Schema Framework (OCSF)**: converte eventos de segurança de diferentes fornecedores em um esquema comum para detecção e análise de ameaças unificadas. Como o OCSF é apenas para determinadas classes de eventos, nem todos os eventos brutos são mapeados para OCSF. + **Transformações personalizadas**: processadores do pipeline que normalizam formatos de dados, enriquecem eventos com contexto adicional e filtram informações relevantes. + **Mapeamento de campos**: mapeamento automático de campos específicos do fornecedor para nomes de campo padronizados para garantir consultas e análises consistentes. **nota** O armazenamento de dados de telemetria de fontes de terceiros em OCSF é um atributo opcional que pode não estar disponível para todas as fontes de dados. **Grupo de logs** Dados de terceiros são ingeridos em um grupo de logs do CloudWatch. Se você usar o Console de gerenciamento da AWS para configurar os pipelines do CloudWatch e o grupo de logs não existir, ele será criado automaticamente pelo processo do assistente. **Autenticação e segurança** As integrações de terceiros usam métodos de autenticação seguros para proteger dados em trânsito: + **OAuth 2.0 e registro de aplicação**: autenticação segura baseada em token para plataformas de nuvem como Microsoft e Okta. + **Chaves e certificados de API**: credenciais de autenticação criptografadas para acesso direto à API. + **Perfis e políticas do IAM**: integração do AWS Identity and Access Management para acesso seguro a buckets do S3 e compartilhamento de dados entre contas. **nota** Os dados coletados de fontes de terceiros são modificados para aderir ao esquema exigido quando são coletados pelos pipelines do CloudWatch. A fonte de dados original não é retida pelo CloudWatch. Cada integração exige uma configuração específica da plataforma para estabelecer a entrega segura de dados ao ambiente da AWS. As seções a seguir fornecem procedimentos detalhados de configuração para integrações de terceiros compatíveis. Cada integração inclui pré-requisitos, etapas de configuração e procedimentos de validação para garantir o fluxo de dados adequado.