Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Intégration de sources de données tierces
L'intégration de CloudWatch pipelines à votre source de données tierce vous permet de connecter des outils de sécurité externes, des fournisseurs d'identité et des plateformes de surveillance à des CloudWatch pipelines pour une analyse centralisée des données. Cette intégration consolide les événements de sécurité, les journaux d'audit et les données de télémétrie provenant de sources multiples.
Note
Les données collectées auprès de sources tierces sont modifiées pour respecter le schéma requis lorsqu'elles sont collectées par des CloudWatch pipelines. La source de données d'origine n'est pas conservée par CloudWatch.
Les données de tiers peuvent être collectées à l'aide de deux méthodes :
-
Intégration directe aux API : certaines sources proposent un flux d'événements APIs dans lequel vous n'avez besoin que de fournir des informations d'identification d'API pour configurer le connecteur.
-
Intégration du compartiment S3 — Les données provenant des sources peuvent être ingérées dans un compartiment S3 géré par le client pour CloudWatch être collectées par les pipelines
Le tableau suivant a identifié les méthodes d'intégration utilisées par les plateformes de données tierces prises en charge :
| Source | Schéma d'intégration | Nécessite un compartiment S3 | Nécessite une file d'attente SQS | Utilise l'extension Secrets Manager | Politiques IAM requises |
|---|---|---|---|---|---|
| CrowdStrike Faucon | Livraison S3 | Oui | Oui | Non | Politiques IAM spécifiques à la source |
| Microsoft Office 365 | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Okta Auth 0 | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Identifiant Microsoft Entra | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Pare-feu nouvelle génération de Palo Alto Networks | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Journaux d'événements Microsoft Windows | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Wiz CNAPP | API | Non | Non | Oui | Autorisations des appelants de l'API |
| Détartreur ZIA/ZPA | Livraison S3 | Oui | Oui | Non | Politiques IAM spécifiques à la source |
| SSO Okta | API | Non | Non | Oui | Autorisations des appelants de l'API |
| SentinelOne | Livraison S3 | Oui | Oui | Non | Politiques IAM spécifiques à la source |
| GitHub | API | Non | Non | Oui (facultatif) | Autorisations des appelants de l'API |
| ServiceNow CMDB | API | Non | Non | Oui | Autorisations des appelants de l'API |
Transformation et standardisation des données
Les intégrations tierces prennent en charge la transformation des données vers des formats standardisés pour une analyse cohérente :
-
Open Cybersecurity Schema Framework (OCSF) : convertit les événements de sécurité de différents fournisseurs en un schéma commun pour une détection et une analyse unifiées des menaces. Comme l'OCSF ne concerne que certaines classes d'événements, tous les événements bruts ne sont pas mappés à l'OCSF.
-
Transformations personnalisées : processeurs de pipeline qui normalisent les formats de données, enrichissent les événements avec un contexte supplémentaire et filtrent les informations pertinentes.
-
Cartographie des champs : mappage automatique des champs spécifiques au fournisseur avec des noms de champs normalisés pour des requêtes et des analyses cohérentes.
Note
Le stockage de données de télémétrie provenant de sources tierces dans OCSF est une fonctionnalité facultative qui n'est peut-être pas disponible pour toutes les sources de données.
Groupe de journaux
Les données tierces sont ingérées dans un groupe de CloudWatch journaux. Si vous utilisez le AWS Management Console pour configurer des CloudWatch pipelines si le groupe de journaux n'existe pas, il est créé automatiquement via le processus de l'assistant.
Authentification et sécurité
Les intégrations tierces utilisent des méthodes d'authentification sécurisées pour protéger les données en transit :
-
OAuth 2.0 et enregistrement des applications — Authentification sécurisée basée sur des jetons pour les plateformes cloud telles que Microsoft et Okta.
-
Clés et certificats d'API : informations d'authentification cryptées pour un accès direct à l'API.
-
Rôles et politiques IAM : intégration AWS d'Identity and Access Management pour un accès sécurisé aux compartiments S3 et un partage de données entre comptes.
Note
Les données collectées auprès de sources tierces sont modifiées pour respecter le schéma requis lorsqu'elles sont collectées par des CloudWatch pipelines. La source de données d'origine n'est pas conservée par CloudWatch.
Chaque intégration nécessite une configuration spécifique à la plate-forme afin d'établir une livraison sécurisée des données vers votre environnement. AWS
Les sections suivantes fournissent des procédures de configuration détaillées pour les intégrations tierces prises en charge. Chaque intégration inclut des prérequis, des étapes de configuration et des procédures de validation pour garantir un flux de données approprié.
