Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Third-party intégration des sources de données
L'intégration de CloudWatch pipelines à votre source de données tierce vous permet de connecter des outils de sécurité externes, des fournisseurs d'identité et des plateformes de surveillance à des CloudWatch pipelines pour une analyse centralisée des données. Cette intégration consolide les événements de sécurité, les journaux d'audit et les données de télémétrie provenant de sources multiples.
Note
Les données collectées auprès de sources tierces sont modifiées pour respecter le schéma requis lorsqu'elles sont collectées par des CloudWatch pipelines. La source de données d'origine n'est pas conservée par CloudWatch.
Third-party les données peuvent être collectées à l'aide de deux méthodes :
-
Intégration directe aux API : certaines sources proposent des API Event Stream dans lesquelles il vous suffit de fournir des informations d'identification d'API pour configurer le connecteur.
-
Intégration du compartiment S3 — Les données provenant des sources peuvent être ingérées dans un compartiment S3 géré par le client pour CloudWatch être collectées par les pipelines
Le tableau suivant a identifié les méthodes d'intégration utilisées par les plateformes de données tierces prises en charge :
| Source | Schéma d'intégration | Nécessite un compartiment S3 | Nécessite une file d'attente SQS | Utilise l'extension Secrets Manager | Politiques IAM requises |
|---|---|---|---|---|---|
| Akamai 2 DataStream | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| Cisco Meraki | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Parapluie Cisco | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| CrowdStrike Faucon | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| Noyau Drupal | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Entrust IDaaS | API | Non | Non | Oui | Autorisations des appelants de l'API |
| F5 BIG-IP | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| GitHub | API | Non | Non | Oui (facultatif) | Autorisations des appelants de l'API |
| Identifiant Microsoft Entra | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Microsoft Office 365 | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Journaux d'événements Microsoft Windows | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Okta Auth 0 | API | Non | Non | Oui | Autorisations des appelants de l'API |
| SSO Okta | API | Non | Non | Oui | Autorisations des appelants de l'API |
| OneLogin Identité | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Palo Alto Networks NGFW | API | Non | Non | Oui | Autorisations des appelants de l'API |
| PingIdentity PingOne | API | Non | Non | Oui | Autorisations des appelants de l'API |
| SentinelOne | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| ServiceNow CMDB | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Wiz CNAPP | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Zeek | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
| Zscaler ZIA/ZPA | Livraison S3 | Oui | Oui | Non | Source-specific Politiques IAM |
Third-party l'intégration envoyée via Security Hub CSPM est également prise en charge. Pour obtenir des informations complètes sur les intégrations tierces de Security Hub, y compris les partenaires pris en charge et les configurations d'intégration avec la directive « Send findings », reportez-vous à la documentation relative à l' Third-Party intégration de Security Hub.
AWS Security Hub (distinct de Security Hub CSPM) prend également en charge les intégrations tierces en tant que sources de données. Pour obtenir la liste complète des intégrations prises en charge, consultez la documentation relative aux intégrations tierces de Security Hub.
Transformation et standardisation des données
Third-party les intégrations prennent en charge la transformation des données vers des formats standardisés pour une analyse cohérente :
-
Open Cybersecurity Schema Framework (OCSF) : convertit les événements de sécurité de différents fournisseurs en un schéma commun pour une détection et une analyse unifiées des menaces. Comme l'OCSF ne concerne que certaines classes d'événements, tous les événements bruts ne sont pas mappés à l'OCSF.
-
Transformations personnalisées : processeurs de pipeline qui normalisent les formats de données, enrichissent les événements avec un contexte supplémentaire et filtrent les informations pertinentes.
-
Cartographie des champs : mappage automatique des champs spécifiques au fournisseur avec des noms de champs normalisés pour des requêtes et des analyses cohérentes.
Note
Le stockage de données de télémétrie provenant de sources tierces dans OCSF est une fonctionnalité facultative qui n'est peut-être pas disponible pour toutes les sources de données.
Groupe de journaux
Third-party les données sont ingérées dans un groupe de CloudWatch journaux. Si vous utilisez le AWS Management Console pour configurer des CloudWatch pipelines si le groupe de journaux n'existe pas, il est créé automatiquement via le processus de l'assistant.
Authentification et sécurité
Third-party les intégrations utilisent des méthodes d'authentification sécurisées pour protéger les données en transit :
-
OAuth 2.0 et enregistrement des applications — Authentification sécurisée basée sur des jetons pour les plateformes cloud telles que Microsoft et Okta.
-
Clés et certificats d'API : informations d'authentification cryptées pour un accès direct à l'API.
-
Rôles et politiques IAM : intégration AWS d'Identity and Access Management pour un accès sécurisé aux compartiments S3 et un partage de données entre comptes.
Note
Les données collectées auprès de sources tierces sont modifiées pour respecter le schéma requis lorsqu'elles sont collectées par des CloudWatch pipelines. La source de données d'origine n'est pas conservée par CloudWatch.
Chaque intégration nécessite une configuration spécifique à la plate-forme afin d'établir une livraison sécurisée des données vers votre environnement. AWS
Les sections suivantes fournissent des procédures de configuration détaillées pour les intégrations tierces prises en charge. Chaque intégration inclut des prérequis, des étapes de configuration et des procédures de validation pour garantir un flux de données approprié.
