第三方数据来源集成
通过将 CloudWatch 管道与第三方数据来源集成,您可以将外部安全工具、身份提供者和监控平台连接至 CloudWatch 管道,以进行集中数据分析。此集成整合了来自多个来源的安全事件、审计日志和遥测数据。
注意
CloudWatch 管道从第三方来源收集数据时,这些数据会经过改变以符合所需架构。CloudWatch 不会保留原始数据来源。
可以使用两种方法收集第三方数据:
-
直接 API 集成 – 某些来源提供事件流 API,您只需提供 API 凭证即可配置连接器
-
S3 存储桶集成 – 可以将来源中的数据摄取到客户管理的 S3 存储桶,供 CloudWatch 管道收集
下表确定了支持的第三方数据平台使用的集成方法:
| 来源 | 集成模式 | 需要 S3 存储桶 | 需要 SQS 队列 | 使用 Secrets Manager 扩展 | 所需的 IAM 策略 |
|---|---|---|---|---|---|
| CrowdStrike Falcon | S3 传输 | 支持 | 是 | 否 | 特定于来源的 IAM 策略 |
| Microsoft Office 365 | API | 否 | 否 | 是 | API 调用方权限 |
| Okta Auth0 | API | 否 | 否 | 是 | API 调用方权限 |
| Microsoft Entra ID | API | 否 | 否 | 是 | API 调用方权限 |
| Palo Alto Networks 下一代防火墙 | API | 否 | 否 | 是 | API 调用方权限 |
| Microsoft Windows 事件日志 | API | 否 | 否 | 是 | API 调用方权限 |
| Wiz CNAPP | API | 否 | 否 | 是 | API 调用方权限 |
| Zscaler ZIA/ZPA | S3 传输 | 支持 | 是 | 否 | 特定于来源的 IAM 策略 |
| Okta SSO | API | 否 | 否 | 是 | API 调用方权限 |
| SentinelOne | S3 传输 | 支持 | 是 | 否 | 特定于来源的 IAM 策略 |
| GitHub | API | 否 | 否 | 是(可选) | API 调用方权限 |
| ServiceNow CMDB | API | 否 | 否 | 是 | API 调用方权限 |
数据转换和标准化
第三方集成支持将数据转换为标准化格式,以实现一致的分析:
-
开放式网络安全架构框架(OCSF)– 将来自不同供应商的安全事件转换为通用架构,用于统一的威胁检测和分析。由于 OCSF 仅适用于某些事件类别,并非所有原始事件都映射到 OCSF。
-
自定义转换 – 管道处理器,用于标准化数据格式、使用额外的背景信息补充事件以及筛选相关信息。
-
字段映射 – 自动将供应商特定字段映射到标准化字段名称,以实现一致的查询和分析。
注意
将来自第三方来源的遥测数据存储在 OCSF 中,是一项可选功能,可能不适用于所有数据来源。
日志组
第三方数据会被摄取到 CloudWatch 日志组。如果您使用 AWS 管理控制台 来配置 CloudWatch 管道(如果日志组不存在),则该日志组将通过向导过程自动创建。
身份验证和安全
第三方集成使用安全的身份验证方法来保护传输中数据:
-
OAuth 2.0 和应用程序注册 – 适用于 Microsoft 和 Okta 等云平台的基于令牌的安全身份验证。
-
API 密钥和证书 – 用于直接 API 访问的加密身份验证凭证。
-
IAM 角色和策略 – AWS Identity and Access Management 集成,可实现安全的 S3 存储桶访问和跨账户数据共享。
注意
CloudWatch 管道从第三方来源收集数据时,这些数据会经过改变以符合所需架构。CloudWatch 不会保留原始数据来源。
每个集成都需要特定于平台的配置,以建立面向您的 AWS 环境的安全数据传输。
以下各节提供了支持的第三方集成的详细设置过程。每个集成都包含先决条件、配置步骤和验证程序,以确保正确的数据流。
