Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Third-party Integration von Datenquellen
Durch die Integration von CloudWatch Pipelines in Ihre Drittanbieter-Datenquelle können Sie externe Sicherheitstools, Identitätsanbieter und Überwachungsplattformen zur zentralen Datenanalyse mit CloudWatch Pipelines verbinden. Diese Integration konsolidiert Sicherheitsereignisse, Auditprotokolle und Telemetriedaten aus mehreren Quellen.
Anmerkung
Daten, die aus Quellen von Drittanbietern gesammelt werden, werden so mutiert, dass sie dem erforderlichen Schema entsprechen, wenn sie über Pipelines gesammelt werden. CloudWatch Die ursprüngliche Datenquelle wird von nicht beibehalten. CloudWatch
Third-party Daten können mit zwei Methoden gesammelt werden:
-
Direkte API-Integration — Einige Quellen bieten Event Stream-APIs, bei denen Sie nur API-Anmeldeinformationen angeben müssen, um den Connector zu konfigurieren
-
S3-Bucket-Integration — Daten aus Quellen können in einen vom Kunden verwalteten S3-Bucket aufgenommen werden, damit CloudWatch Pipelines sie sammeln können
In der folgenden Tabelle sind die Integrationsmethoden aufgeführt, die von den unterstützten Datenplattformen von Drittanbietern verwendet werden:
| Quelle | Integrationsmuster | Erfordert S3-Bucket | Erfordert eine SQS-Warteschlange | Verwendet die Secrets Manager Manager-Erweiterung | Erforderliche IAM-Richtlinien |
|---|---|---|---|---|---|
| Akamai 2 DataStream | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| Cisco Meraki | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Cisco Umbrella | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| CrowdStrike Falcon | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| Drupal Core | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Vertrauen Sie IDaaS an | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| F5 BIG-IP | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| GitHub | API | Nein | Nein | Ja (optional) | Berechtigungen für API-Aufrufer |
| Microsoft Entra ID | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Microsoft Office 365 | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Microsoft Windows-Ereignisprotokolle | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Okta Auth0 | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Okta SSO | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| OneLogin Identität | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Palo Alto Networks NGFW | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| PingIdentity PingOne | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| SentinelOne | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| ServiceNow CMDB | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Wizz CNAPP | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Zeek | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
| Zscaler ZIA/ZPA | S3-Lieferung | Ja | Ja | Nein | Source-specific IAM-Richtlinien |
Third-party Die über Security Hub CSPM gesendete Integration wird ebenfalls unterstützt. Umfassende Informationen zu den Integrationen von Drittanbietern von Security Hub, einschließlich unterstützter Partner und Integrationskonfigurationen mit der Anweisung „Ergebnisse senden“, finden Sie in der Dokumentation zur Security Third-Party Hub-Integration.
AWS Security Hub (anders als Security Hub CSPM) unterstützt auch Integrationen von Drittanbietern als Datenquellen. Eine vollständige Liste der unterstützten Integrationen finden Sie in der Security Hub Hub-Dokumentation zu Integrationen von Drittanbietern.
Datentransformation und Standardisierung
Third-party Integrationen unterstützen die Datentransformation in standardisierte Formate für eine konsistente Analyse:
-
Open Cybersecurity Schema Framework (OCSF) — Konvertiert Sicherheitsereignisse verschiedener Anbieter in ein gemeinsames Schema für eine einheitliche Erkennung und Analyse von Bedrohungen. Da OCSF nur für bestimmte Ereignisklassen gilt, werden nicht alle Rohereignisse OCSF zugeordnet.
-
Benutzerdefinierte Transformationen — Pipeline-Prozessoren, die Datenformate normalisieren, Ereignisse mit zusätzlichem Kontext anreichern und relevante Informationen filtern.
-
Feldzuordnung — Automatische Zuordnung herstellerspezifischer Felder zu standardisierten Feldnamen für konsistente Abfragen und Analysen.
Anmerkung
Das Speichern von Telemetriedaten aus Drittanbieterquellen in OCSF ist eine optionale Funktion, die möglicherweise nicht für alle Datenquellen verfügbar ist.
Gruppe protokollieren
Third-party Daten werden in eine CloudWatch Protokollgruppe aufgenommen. Wenn Sie die AWS-Managementkonsole zur Konfiguration von CloudWatch Pipelines verwenden und die Protokollgruppe nicht existiert, wird sie automatisch mithilfe des Assistenten erstellt.
Authentifizierung und Sicherheit
Third-party Integrationen verwenden sichere Authentifizierungsmethoden, um Daten während der Übertragung zu schützen:
-
OAuth 2.0 und Anwendungsregistrierung — Sichere tokenbasierte Authentifizierung für Cloud-Plattformen wie Microsoft und Okta.
-
API-Schlüssel und Zertifikate — Verschlüsselte Authentifizierungsdaten für direkten API-Zugriff.
-
IAM-Rollen und -Richtlinien — AWS Identity and Access Management Zugriffsmanagement-Integration für sicheren S3-Bucket-Zugriff und kontoübergreifenden Datenaustausch.
Anmerkung
Daten, die aus Quellen von Drittanbietern gesammelt werden, werden so mutiert, dass sie dem erforderlichen Schema entsprechen, wenn sie über Pipelines gesammelt werden. CloudWatch Die ursprüngliche Datenquelle wird von nicht beibehalten. CloudWatch
Für jede Integration ist eine plattformspezifische Konfiguration erforderlich, um eine sichere Datenbereitstellung in Ihrer AWS Umgebung zu gewährleisten.
Die folgenden Abschnitte enthalten detaillierte Einrichtungsverfahren für unterstützte Integrationen von Drittanbietern. Jede Integration umfasst Voraussetzungen, Konfigurationsschritte und Validierungsverfahren, um einen ordnungsgemäßen Datenfluss sicherzustellen.
