Integrasi sumber data pihak ketiga

Mengintegrasikan CloudWatch saluran pipa dengan sumber data pihak ketiga memungkinkan Anda menghubungkan alat keamanan eksternal, penyedia identitas, dan platform pemantauan ke CloudWatch saluran pipa untuk analisis data terpusat. Integrasi ini mengkonsolidasikan peristiwa keamanan, log audit, dan data telemetri dari berbagai sumber.

catatan

Data yang dikumpulkan dari sumber pihak ketiga bermutasi untuk mematuhi skema yang diperlukan ketika dikumpulkan oleh CloudWatch jaringan pipa. Sumber data asli tidak disimpan oleh CloudWatch.

Data pihak ketiga dapat dikumpulkan menggunakan dua metode:

1. Integrasi API Langsung — Beberapa sumber menawarkan Event Stream APIs di mana Anda hanya perlu memberikan kredensyal API untuk mengonfigurasi konektor

2. Integrasi Bucket S3 — Data dari sumber dapat dicerna ke dalam bucket S3 yang dikelola pelanggan untuk mengumpulkan pipeline CloudWatch

Tabel berikut mengidentifikasi metode integrasi yang digunakan oleh platform data pihak ketiga yang didukung:

Sumber	Pola Integrasi	Membutuhkan ember S3	Membutuhkan Antrian SQS	Menggunakan ekstensi Secrets Manager	Kebijakan IAM yang Diperlukan
CrowdStrike Falcon	Pengiriman S3	Ya	Ya	Tidak	Kebijakan IAM khusus sumber
Microsoft Office 365	API	Tidak	Tidak	Ya	Izin pemanggil API
Okta Auth0	API	Tidak	Tidak	Ya	Izin pemanggil API
ID Microsoft Entra	API	Tidak	Tidak	Ya	Izin pemanggil API
Palo Alto Networks Firewall Generasi Berikutnya	API	Tidak	Tidak	Ya	Izin pemanggil API
Log Acara Microsoft Windows	API	Tidak	Tidak	Ya	Izin pemanggil API
Wiz CNAPP	API	Tidak	Tidak	Ya	Izin pemanggil API
Zscaler ZIA/ZPA	Pengiriman S3	Ya	Ya	Tidak	Kebijakan IAM khusus sumber
Okta SSO	API	Tidak	Tidak	Ya	Izin pemanggil API
SentinelOne	Pengiriman S3	Ya	Ya	Tidak	Kebijakan IAM khusus sumber
GitHub	API	Tidak	Tidak	Ya (opsional)	Izin pemanggil API
ServiceNow CMDB	API	Tidak	Tidak	Ya	Izin pemanggil API

Transformasi dan standardisasi data

Integrasi pihak ketiga mendukung transformasi data ke format standar untuk analisis yang konsisten:

• Open Cybersecurity Schema Framework (OCSF) — Mengubah peristiwa keamanan dari vendor yang berbeda menjadi skema umum untuk deteksi dan analisis ancaman terpadu. Karena OCSF hanya untuk kelas acara tertentu, tidak semua peristiwa mentah dipetakan ke OCSF.

• Transformasi khusus — Prosesor saluran pipa yang menormalkan format data, memperkaya peristiwa dengan konteks tambahan, dan memfilter informasi yang relevan.

• Pemetaan lapangan — Pemetaan otomatis bidang khusus vendor ke nama bidang standar untuk kueri dan analisis yang konsisten.

catatan

Menyimpan data telemetri dari sumber pihak ketiga di OCSF adalah fitur opsional yang mungkin tidak tersedia untuk semua sumber data.

Grup log

Data pihak ketiga dicerna ke dalam grup CloudWatch log. Jika Anda menggunakan Konsol Manajemen AWS untuk mengkonfigurasi CloudWatch pipeline jika grup log tidak ada, itu dibuat secara otomatis melalui proses wizard.

Otentikasi dan keamanan

Integrasi pihak ketiga menggunakan metode otentikasi aman untuk melindungi data dalam perjalanan:

• OAuth 2.0 dan pendaftaran aplikasi — Otentikasi berbasis token aman untuk platform cloud seperti Microsoft dan Okta.

• Kunci dan sertifikat API — Kredensyal otentikasi terenkripsi untuk akses API langsung.

• Peran dan kebijakan IAM — Integrasi AWS Identity and Access Management untuk akses bucket S3 yang aman dan berbagi data lintas akun.

catatan

Data yang dikumpulkan dari sumber pihak ketiga bermutasi untuk mematuhi skema yang diperlukan ketika dikumpulkan oleh CloudWatch jaringan pipa. Sumber data asli tidak disimpan oleh CloudWatch.

Setiap integrasi memerlukan konfigurasi khusus platform untuk membuat pengiriman data yang aman ke lingkungan Anda. AWS

Bagian berikut menyediakan prosedur penyiapan terperinci untuk integrasi pihak ketiga yang didukung. Setiap integrasi mencakup prasyarat, langkah konfigurasi, dan prosedur validasi untuk memastikan aliran data yang tepat.