Características poco conocidas de Illumio ASP - Exportación de registros a buckets de Amazon S3

En este serial rápido, el equipo de gestión de productos de Illumio destacará las características menos conocidas (pero no menos poderosas) de Illumio ASP.

Amazon Simple Storage Service ("S3") es un servicio de almacenamiento de datos escalable, rentable y fácil de usar que se puede emplear para almacenar y recuperar cualquier tipo de datos desde cualquier lugar de Internet. Aunque tiene muchos usos, se emplea principalmente para copias de seguridad y recuperación, recuperación ante desastres, archivos de datos y espacio en la nube.

Normalmente, una organización crea un bucket de S3, que es similar a una carpeta de archivos accesible desde Internet. En este bucket de S3, se pueden aplicar políticas de control de acceso de S3 para permitir que una organización escriba datos y otras organizaciones lean datos desde la ubicación de almacenamiento compartida. Los buckets de S3 pueden ser propiedad de una organización y ser escritos o leídos por otra organización. Además, los datos de larga duración y de uso poco frecuente se pueden almacenar a bajo costo.

Además de una interfaz sitio web, S3 también proporciona una API para la integración con otros servicios sitio web.

Los proveedores escriben integraciones que pueden leer/escribir datos de S3. Illumio CloudSecure, al igual que otros proveedores de SaaS, aprovecha Amazon S3 para escribir (entregar) registros a los clientes. Los clientes leen (acceden) a estos datos conectando el bucket de S3 a sus herramientas de análisis de registros o SIEM.

Por lo general, los clientes crean su propio bucket de S3 y proporcionan su nombre de bucket e ID de cuenta a Illumio. Para facilitar a los clientes la configuración, publicamos un artículo de la base de conocimientos que incluye una plantilla de CloudFormation. Al cargar esta plantilla en AWS, nuestros clientes pueden crear los buckets de S3 y aplicar las políticas de administración de identidades y accesos (IAM) necesarias en unos sencillos pasos.

Alternativamente, los clientes pueden aplicar a Illumio que cree y aloje el bucket de S3 en su nombre y simplemente acceda a los datos desde su lado. (Clientes actuales: consulte esta documentación para obtener información adicional sobre la plantilla de CloudFormation).

Una vez configurado el bucket de S3, el equipo de operaciones de SaaS de Illumio configurará el ID de cuenta y el nombre del bucket proporcionados para habilitar la entrega de registros. También crearemos un par de subcarpetas en ese bucket de S3 para diferentes tipos de datos. Los registros se entregan por lotes dentro de los 10 minutos posteriores a la configuración correcta, e Illumio procesa por lotes los datos de registro y los escribe cada 10 minutos.

Illumio Secure Cloud puede proporcionar dos tipos de registros a través de Amazon S3: resúmenes de flujo de tráfico y eventos de auditoría. Los resúmenes de flujo de tráfico son registros que muestran la comunicación de aplicación a aplicación en su centro de datos, es decir, el tráfico este-oeste. Los eventos de auditoría son registros de todos los cambios realizados en Illumio. Estos eventos de auditoría incluyen no solo los datos tradicionales de quién/qué/cuándo/dónde, sino también notificaciones y los cambios reales de recursos.

Ambos tipos de registro son mensajes estructurados en formato JSON. La documentación extensa está disponible aquí.

Los proveedores de SIEM como Splunk e IBM QRadar proporcionan integraciones prediseñadas que permiten a sus productos emplear sin problemas el almacenamiento genérico proporcionado por S3.

• Splunk proporciona el complemento Splunk para AWS.
• QRadar proporciona un tipo de origen de registro de Amazon AWS CloudTrail, que se puede emplear como origen de registro de puerta de enlace para pasar datos a otros orígenes de registro.

Pronto volveremos con otra edición de nuestras "Características poco conocidas", pero mientras tanto, envíe un mensaje a nuestro equipo de productos a [email protected] para obtener más información.