# 第三方数据来源集成 通过将 CloudWatch 管道与第三方数据来源集成,您可以将外部安全工具、身份提供者和监控平台连接至 CloudWatch 管道,以进行集中数据分析。此集成整合了来自多个来源的安全事件、审计日志和遥测数据。 **注意** CloudWatch 管道从第三方来源收集数据时,这些数据会经过改变以符合所需架构。CloudWatch 不会保留原始数据来源。 可以使用两种方法收集第三方数据: 1. **直接 API 集成** – 某些来源提供事件流 API,您只需提供 API 凭证即可配置连接器 1. **S3 存储桶集成** – 可以将来源中的数据摄取到客户管理的 S3 存储桶,供 CloudWatch 管道收集 下表确定了支持的第三方数据平台使用的集成方法: | 来源 | 集成模式 | 需要 S3 存储桶 | 需要 SQS 队列 | 使用 Secrets Manager 扩展 | 所需的 IAM 策略 | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | S3 传输 | 支持 | 是 | 否 | [特定于来源的 IAM 策略](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Entra ID | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Palo Alto Networks 下一代防火墙 | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Windows 事件日志 | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Wiz CNAPP | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | S3 传输 | 支持 | 是 | 否 | [特定于来源的 IAM 策略](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | S3 传输 | 支持 | 是 | 否 | [特定于来源的 IAM 策略](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | API | 否 | 否 | 是(可选) | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | ServiceNow CMDB | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | S3 传输 | 支持 | 是 | 否 | [特定于来源的 IAM 策略](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin 身份 | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Entrust IDaaS | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | | Drupal Core | API | 否 | 否 | 是 | [API 调用方权限](pipeline-iam-reference.md#api-caller-permissions) | 还支持通过 Security Hub CSPM 发送的第三方集成。有关 Security Hub 第三方集成的全面信息,包括支持的合作伙伴和以“发送调查发现”为方向的集成配置,请参阅 [Security Hub 第三方集成文档](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。 AWS Security Hub(与 Security Hub CSPM 不同)还支持第三方集成作为数据来源。有关支持的集成的完整列表,请参阅 [Security Hub 的第三方集成文档](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html)。 **数据转换和标准化** 第三方集成支持将数据转换为标准化格式,以实现一致的分析: + **开放式网络安全架构框架(OCSF)**– 将来自不同供应商的安全事件转换为通用架构,用于统一的威胁检测和分析。由于 OCSF 仅适用于某些事件类别,并非所有原始事件都映射到 OCSF。 + **自定义转换** – 管道处理器,用于标准化数据格式、使用额外的背景信息补充事件以及筛选相关信息。 + **字段映射** – 自动将供应商特定字段映射到标准化字段名称,以实现一致的查询和分析。 **注意** 将来自第三方来源的遥测数据存储在 OCSF 中,是一项可选功能,可能不适用于所有数据来源。 **日志组** 第三方数据会被摄取到 CloudWatch 日志组。如果您使用 AWS 管理控制台 来配置 CloudWatch 管道(如果日志组不存在),则该日志组将通过向导过程自动创建。 **身份验证和安全** 第三方集成使用安全的身份验证方法来保护传输中数据: + **OAuth 2.0 和应用程序注册** – 适用于 Microsoft 和 Okta 等云平台的基于令牌的安全身份验证。 + **API 密钥和证书** – 用于直接 API 访问的加密身份验证凭证。 + **IAM 角色和策略** – AWS Identity and Access Management 集成,可实现安全的 S3 存储桶访问和跨账户数据共享。 **注意** CloudWatch 管道从第三方来源收集数据时,这些数据会经过改变以符合所需架构。CloudWatch 不会保留原始数据来源。 每个集成都需要特定于平台的配置,以建立面向您的 AWS 环境的安全数据传输。 以下各节提供了支持的第三方集成的详细设置过程。每个集成都包含先决条件、配置步骤和验证程序,以确保正确的数据流。