Wenig bekannte Funktionen von Illumio ASP – Protokollexport in Amazon S3-Buckets

In dieser kurzen Serie beleuchtet das Produktmanagement-Team von Illumio die weniger bekannten (aber nicht weniger leistungsfähigen) Funktionen von Illumio ASP.

Amazon Simple Storage Service ("S3") ist ein einfach zu bedienender, kosteneffizienter und skalierbarer Datenspeicherservice, mit dem jede Art von Daten von überall im Internet gespeichert und abgerufen werden kann. Obwohl es viele Verwendungsmöglichkeiten hat, wird es hauptsächlich für Backup und Wiederherstellung, Notfallwiederherstellung, Datenarchive und Cloud-Speicher verwendet.

In der Regel erstellt eine Organisation einen S3-Bucket, der einem über das Internet zugänglichen Dateiordner ähnelt. In diesem S3-Bucket können S3-Zugriffskontrollrichtlinien angewendet werden, um einer Organisation das Schreiben von Daten und anderen Organisationen das Lesen von Daten aus dem freigegebenen Speicherort zu ermöglichen. S3-Buckets können sich im Besitz einer Organisation befinden und von einer anderen Organisation geschrieben/gelesen werden. Darüber hinaus können langlebige, selten genutzte Daten kostengünstig gespeichert werden.

Neben einer Weboberfläche bietet S3 auch eine API für die Integration mit anderen Webservices.

Anbieter schreiben Integrationen, die S3-Daten lesen/schreiben können. Illumio CloudSecure nutzt wie andere SaaS-Anbieter Amazon S3, um Protokolle an Kunden zu schreiben (zu liefern). Kunden lesen diese Daten (greifen darauf zu), indem sie den S3-Bucket mit ihren SIEM- oder Protokollanalyse-Tools verbinden.

In der Regel erstellen Kunden ihren eigenen S3-Bucket und geben ihren Bucket-Namen und ihre Konto-ID an Illumio weiter. Um Kunden die Einrichtung zu erleichtern, haben wir einen Knowledge Base-Artikel veröffentlicht, der eine CloudFormation-Vorlage enthält. Durch das Laden dieser Vorlage in AWS können unsere Kunden die S3-Buckets erstellen und die erforderlichen Identity and Access Management (IAM)-Richtlinien in wenigen einfachen Schritten anwenden.

Alternativ können Kunden Illumio beauftragen, den S3-Bucket in ihrem Namen zu erstellen und zu hosten und einfach von ihrer Seite aus auf die Daten zuzugreifen. (Aktuelle Kunden: In dieser Dokumentation finden Sie die CloudFormation-Vorlage und weitere Details.)

Sobald der S3-Bucket eingerichtet ist, konfiguriert das SaaS-Operations-Team von Illumio die angegebene Konto-ID und den Bucket-Namen, um die Bereitstellung von Protokollen zu ermöglichen. Wir werden auch einige Unterordner in diesem S3-Bucket für verschiedene Datentypen erstellen. Die Protokolle werden innerhalb von 10 Minuten nach erfolgreicher Einrichtung im Batch bereitgestellt, und die Protokolldaten werden von Illumio in Batches zusammengefasst und alle 10 Minuten geschrieben.

Illumio Secure Cloud kann zwei Arten von Protokollen über Amazon S3 bereitstellen: Zusammenfassungen des Datenverkehrsflusses und Audit-Ereignisse. Traffic-Flow-Summarys sind Datensätze, die die Kommunikation zwischen Anwendungen in Ihrem Rechenzentrum anzeigen, d. h. den Ost-West-Verkehr. Audit-Ereignisse sind Aufzeichnungen über jede Änderung, die auf Illumio vorgenommen wurde. Zu diesen Überwachungsereignissen gehören nicht nur die traditionellen Wer/Was/Wann/Wo-Daten, sondern auch Benachrichtigungen und die tatsächlichen Ressourcenänderungen.

Bei beiden Protokolltypen handelt es sich um strukturierte Nachrichten im JSON-Format. Eine umfangreiche Dokumentation finden Sie hier.

SIEM-Anbieter wie Splunk und IBM QRadar bieten vorgefertigte Integrationen, die es ihren Produkten ermöglichen, den von S3 bereitgestellten generischen Speicher nahtlos zu nutzen.

• Splunk stellt das Splunk-Add-on für AWS bereit.
• QRadar bietet den Protokollquellentyp Amazon AWS CloudTrail, der als Gateway-Protokollquelle verwendet werden kann, um Daten an andere Protokollquellen zu übergeben.

Wir werden bald mit einer weiteren Ausgabe unserer "Little Known Features" zurückkommen, aber in der Zwischenzeit senden Sie eine Nachricht an unser Produktteam unter [email protected], um weitere Informationen zu erhalten!