Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration von Datenquellen von Drittanbietern
Durch die Integration von CloudWatch Pipelines in Ihre Drittanbieter-Datenquelle können Sie externe Sicherheitstools, Identitätsanbieter und Überwachungsplattformen zur zentralen Datenanalyse mit CloudWatch Pipelines verbinden. Diese Integration konsolidiert Sicherheitsereignisse, Auditprotokolle und Telemetriedaten aus mehreren Quellen.
Anmerkung
Daten, die aus Quellen von Drittanbietern gesammelt werden, werden so mutiert, dass sie dem erforderlichen Schema entsprechen, wenn sie über Pipelines gesammelt werden. CloudWatch Die ursprüngliche Datenquelle wird von nicht beibehalten. CloudWatch
Daten von Drittanbietern können auf zwei Arten gesammelt werden:
-
Direkte API-Integration — Einige Quellen bieten Event Stream APIs , bei dem Sie nur API-Anmeldeinformationen angeben müssen, um den Connector zu konfigurieren
-
S3-Bucket-Integration — Daten aus Quellen können in einen vom Kunden verwalteten S3-Bucket aufgenommen werden, damit CloudWatch Pipelines sie sammeln können
In der folgenden Tabelle sind die Integrationsmethoden aufgeführt, die von den unterstützten Datenplattformen von Drittanbietern verwendet werden:
| Quelle | Integrationsmuster | Erfordert S3-Bucket | Erfordert eine SQS-Warteschlange | Verwendet die Secrets Manager Manager-Erweiterung | Erforderliche IAM-Richtlinien |
|---|---|---|---|---|---|
| CrowdStrike Falcon | S3-Lieferung | Ja | Ja | Nein | Quellenspezifische IAM-Richtlinien |
| Microsoft Office 365 | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Microsoft Entra ID | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Firewall der nächsten Generation von Palo Alto Networks | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Microsoft Windows-Ereignisprotokolle | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Wizz CNAPP | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| Zscaler ZIA/ZPA | S3-Lieferung | Ja | Ja | Nein | Quellenspezifische IAM-Richtlinien |
| Okta SSO | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
| SentinelOne | S3-Lieferung | Ja | Ja | Nein | Quellenspezifische IAM-Richtlinien |
| GitHub | API | Nein | Nein | Ja (optional) | Berechtigungen für API-Aufrufer |
| ServiceNow CMDB | API | Nein | Nein | Ja | Berechtigungen für API-Aufrufer |
Datentransformation und Standardisierung
Integrationen von Drittanbietern unterstützen die Datentransformation in standardisierte Formate für eine konsistente Analyse:
-
Open Cybersecurity Schema Framework (OCSF) — Konvertiert Sicherheitsereignisse verschiedener Anbieter in ein gemeinsames Schema für eine einheitliche Erkennung und Analyse von Bedrohungen. Da OCSF nur für bestimmte Ereignisklassen gilt, werden nicht alle Rohereignisse OCSF zugeordnet.
-
Benutzerdefinierte Transformationen — Pipeline-Prozessoren, die Datenformate normalisieren, Ereignisse mit zusätzlichem Kontext anreichern und relevante Informationen filtern.
-
Feldzuordnung — Automatische Zuordnung herstellerspezifischer Felder zu standardisierten Feldnamen für konsistente Abfragen und Analysen.
Anmerkung
Das Speichern von Telemetriedaten aus Drittanbieterquellen in OCSF ist eine optionale Funktion, die möglicherweise nicht für alle Datenquellen verfügbar ist.
Gruppe protokollieren
Daten von Drittanbietern werden in eine CloudWatch Protokollgruppe aufgenommen. Wenn Sie die AWS-Managementkonsole zur Konfiguration von CloudWatch Pipelines verwenden und die Protokollgruppe nicht existiert, wird sie automatisch mithilfe des Assistenten erstellt.
Authentifizierung und Sicherheit
Integrationen von Drittanbietern verwenden sichere Authentifizierungsmethoden, um Daten während der Übertragung zu schützen:
-
OAuth 2.0 und Anwendungsregistrierung — Sichere tokenbasierte Authentifizierung für Cloud-Plattformen wie Microsoft und Okta.
-
API-Schlüssel und Zertifikate — Verschlüsselte Authentifizierungsdaten für direkten API-Zugriff.
-
IAM-Rollen und -Richtlinien — AWS Identity and Access Management Zugriffsmanagement-Integration für sicheren S3-Bucket-Zugriff und kontoübergreifenden Datenaustausch.
Anmerkung
Daten, die aus Quellen von Drittanbietern gesammelt werden, werden so mutiert, dass sie dem erforderlichen Schema entsprechen, wenn sie über Pipelines gesammelt werden. CloudWatch Die ursprüngliche Datenquelle wird von nicht beibehalten. CloudWatch
Für jede Integration ist eine plattformspezifische Konfiguration erforderlich, um eine sichere Datenbereitstellung in Ihrer AWS Umgebung zu gewährleisten.
Die folgenden Abschnitte enthalten detaillierte Einrichtungsverfahren für unterstützte Integrationen von Drittanbietern. Jede Integration umfasst Voraussetzungen, Konfigurationsschritte und Validierungsverfahren, um einen ordnungsgemäßen Datenfluss sicherzustellen.
