本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
第三方資料來源整合
將 CloudWatch 管道與第三方資料來源整合,可讓您將外部安全工具、身分提供者和監控平台連線至 CloudWatch 管道,以進行集中式資料分析。此整合會合併來自多個來源的安全事件、稽核日誌和遙測資料。
注意
從第三方來源收集的資料會進行變動,以在 CloudWatch 管道收集時遵循所需的結構描述。CloudWatch 不會保留原始資料來源。
可以使用兩種方法收集第三方資料:
-
直接 API 整合 – 有些來源提供事件串流 APIs您只需提供 API 登入資料即可設定連接器
-
S3 儲存貯體整合 – 來自來源的資料可以擷取到客戶管理的 S3 儲存貯體中,以便 CloudWatch 管道收集
下表識別受支援的第三方資料平台所使用的整合方法:
| 來源 | 整合模式 | 需要 S3 儲存貯體 | 需要 SQS 佇列 | 使用 Secrets Manager 延伸模組 | 必要的 IAM 政策 |
|---|---|---|---|---|---|
| CrowdStrike Falcon | S3 交付 | 是 | 是 | 否 | 來源特定的 IAM 政策 |
| Microsoft Office 365 | API | 否 | 否 | 是 | API 呼叫者許可 |
| Microsoft Entra ID | API | 否 | 否 | 是 | API 呼叫者許可 |
| Palo Alto Networks 新一代防火牆 | API | 否 | 否 | 是 | API 呼叫者許可 |
| Microsoft Windows 事件日誌 | API | 否 | 否 | 是 | API 呼叫者許可 |
| Wiz CNAPP | API | 否 | 否 | 是 | API 呼叫者許可 |
| Zscaler ZIA/ZPA | S3 交付 | 是 | 是 | 否 | 來源特定的 IAM 政策 |
| Okta SSO | API | 否 | 否 | 是 | API 呼叫者許可 |
| SentinelOne | S3 交付 | 是 | 是 | 否 | 來源特定的 IAM 政策 |
| GitHub | API | 否 | 否 | 是 (選用) | API 呼叫者許可 |
| ServiceNow CMDB | API | 否 | 否 | 是 | API 呼叫者許可 |
資料轉換和標準化
第三方整合支援將資料轉換為標準化格式,以進行一致分析:
-
開放式網路安全結構描述架構 (OCSF) – 將不同廠商的安全事件轉換為通用結構描述,以進行統一的威脅偵測和分析。由於 OCSF 僅適用於特定事件類別,因此並非所有原始事件都會映射至 OCSF。
-
自訂轉換 – 管道處理器,可標準化資料格式、使用其他內容豐富事件,以及篩選相關資訊。
-
欄位映射 – 將廠商特定欄位自動映射至標準化欄位名稱,以進行一致的查詢和分析。
注意
在 OCSF 中存放來自第三方來源的遙測資料是一項選用功能,可能無法用於所有資料來源。
日誌群組
第三方資料會擷取至 CloudWatch 日誌群組。如果您使用 AWS 管理主控台 來設定日誌群組不存在的 CloudWatch 管道,它會透過精靈程序自動建立。
身分驗證和安全性
第三方整合使用安全身分驗證方法來保護傳輸中的資料:
-
OAuth 2.0 和應用程式註冊 – 適用於 Microsoft 和 Okta 等雲端平台的安全字符型身分驗證。
-
API 金鑰和憑證 – 用於直接 API 存取的加密身分驗證憑證。
-
IAM 角色和政策 – AWS Identity and Access Management 整合,用於安全 S3 儲存貯體存取和跨帳戶資料共用。
注意
從第三方來源收集的資料會進行變動,以在 CloudWatch 管道收集時遵循所需的結構描述。CloudWatch 不會保留原始資料來源。
每個整合都需要平台特定的組態,才能將安全的資料交付到您的 AWS 環境。
下列各節提供受支援第三方整合的詳細設定程序。每個整合都包含先決條件、組態步驟和驗證程序,以確保適當的資料流程。
