Conexión a un origen de datos Amazon CloudWatch

Editar en línea

Conecte el origen de datos de Amazon CloudWatch a la plataforma para permitir que las aplicaciones y los paneles de control recopilen y analicen datos de seguridad de Amazon CloudWatch . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Antes de empezar

Colabore con un administrador de AWS para obtener una cuenta de usuario con acceso para consultar el origen de datos de CloudWatch .

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Configuración de Edge Gateway.

Acerca de esta tarea

Con Amazon CloudWatch, puede configurar el acceso centralizado a los registros de todos los sistemas Amazon , aplicaciones y Amazon Web Services (AWS) en un único servicio.

Las conexiones de origen de datos para registros de Amazon GuardDuty y registros de flujo de VPC están soportadas.

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector de Amazon CloudWatch utiliza el patrón STIX para consultar datos de Amazon CloudWatch y devuelve los resultados como objetos STIX . Para obtener más información sobre cómo se correlaciona el esquema de datos de Amazon CloudWatch con STIX, consulte Correlación deAmazon CloudWatch STIX (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_cloud_watch_logs_supported_stix.md).

Procedimiento

  1. Vaya a Menú > Connections > Orígenes de datos.
  2. En la pestaña Orígenes de datos , pulse Conectar un origen de datos.
  3. Seleccione el tipo de origen de datos.
  4. Configure la conexión con el origen de datos.
    1. En el campo Nombre de origen de datos , asigne un nombre para identificar de forma exclusiva la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, de modo que es buena idea distinguirlas por su nombre. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    2. En el campo Descripción de origen de datos , escriba una descripción para indicar la finalidad de la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Pasarela de Edge (opcional) , especifique qué Edge Gateway desea utilizar.
      Seleccione un Edge Gateway para alojar el conector. El estado de las conexiones de origen de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
    4. En el campo Región , especifique la región CloudWatch para el origen de datos. Seleccione el código de región en la columna Región de la tabla Puntos finales de servicio en la AWS Guía de referencia general (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
    5. En el campo Nombres de grupo de registro , especifique los nombres de grupo de registro de los registros de CloudWatch a los que desea conectarse. Si no se especifican los nombres de grupo de registros, se conectan todos los grupos de registros disponibles.
      Este campo es opcional. El valor de Nombres de grupos de registro debe utilizar un formato JSON específico:
      {"<service_type>": "<service_log_group_name>"}
      Por ejemplo:
      {"vpcflow": "vpcflow_log_group_name"}
      Para obtener registros de varios tipos de servicios, los tipos de servicios y sus nombres de grupo de registros asociados se pueden especificar en el archivo JSON separados por una coma. Por ejemplo:
      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}
  5. Configure los parámetros de consulta que controlan el comportamiento de la consulta de búsqueda en el origen de datos.
    1. En el campo Límite de búsqueda simultánea , establezca el número de conexiones simultáneas que se pueden realizar con el origen de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
    2. En el campo Límite de tiempo de espera de búsqueda de consulta , establezca el límite de tiempo en minutos para el tiempo durante el que se ejecuta la consulta en el origen de datos. El límite de tiempo predeterminado es 30. Si el valor se establece en cero, no hay tiempo de espera. El valor no debe ser inferior a 1 ni superior a 120.
    3. En el campo Límite de tamaño de resultado , establezca el número máximo de entradas u objetos devueltos por la consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser menor que 1 y no debe ser mayor que 500.000.
    4. En el campo Rango de tiempo de consulta , establezca el rango de tiempo en minutos para la búsqueda, representado como la última X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
    Importante: Si aumenta el límite de búsqueda simultánea y el límite de tamaño de resultado, se puede enviar una mayor cantidad de datos al origen de datos, lo que aumenta la tensión en el origen de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
  6. Opcional: Si necesita personalizar la correlación de atributos STIX, pulse Personalizar correlación de atributos y edite el blob JSON para correlacionar las propiedades nuevas o existentes con sus campos de origen de datos de destino asociados.
  7. Configure la identidad y el acceso.
    1. Pulse Añadir una configuración.
    2. En el campo Nombre de configuración , especifique un nombre exclusivo para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. En el campo Descripción de configuración , especifique una descripción exclusiva para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    4. Pulse Editar acceso y elija qué usuarios pueden conectarse al origen de datos y el tipo de acceso.
    5. Establecer autenticación de AWS para habilitar el acceso a la API de búsqueda de AWS .
      • Para establecer una autenticación basada en claves de AWS , especifique valores para los parámetros AWS ID de clave de acceso y AWS clave de acceso secreta .
      • Para establecer una autenticación basada en roles de AWS , especifique valores para los parámetros AWS ID de clave de acceso, AWS clave de acceso secretay AWS Rol de IAM .
      Para obtener más información sobre la autenticación de AWS , consulte Configuración de la autenticación de AWS.
    6. Si CloudWatch está configurado con un certificado SSL (Security Sockets Layer) autofirmado, añada un certificado de conexión.

      Para confirmar que tiene un certificado autofirmado, puede buscar en la web 'ssl decode' y a continuación copiar y pegar el certificado en un decodificador de certificados. Si el valor del campo Nombre común es local, por ejemplo, yourlocalhost.yourlocaldomain, indica un certificado autofirmado.

      Copie los detalles del certificado y péguelos en el espacio que se suministra.

    7. Pulse Añadir.
    8. Para guardar la configuración y establecer la conexión, pulse Terminado.
    Verá la configuración de conexión de origen de datos que ha añadido bajo Conexiones en la página Valores de origen de datos. Un mensaje en la tarjeta indica conexión con el origen de datos.
    Cuando añade un origen de datos, puede tardar unos minutos antes de que el origen de datos se muestre como conectado.
    Sugerencia: Después de conectar un origen de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

    Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

  8. Para editar las configuraciones, realice los pasos siguientes:
    1. En el separador Orígenes de datos , seleccione la conexión de origen de datos que desea editar.
    2. En la sección Configuraciones , pulse Editar configuración (Icono Editar configuración).
    3. Edite los parámetros de identidad y acceso y pulse Guardar.

Qué hacer a continuación

Pruebe la conexión ejecutando una consulta con IBM Security Data Explorer. Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.