Настройка соединения с источником данных Amazon CloudWatch

Настройте соединение между IBM Cloud Pak for Security и Amazon CloudWatch, чтобы запрашивать данные из этого источника.

Прежде чем начать

Обратитесь к администратору AWS и получите у него учетные данные пользователя, имеющего права запрашивать данные в источнике данных CloudWatch.

Об этой задаче

Используя Amazon CloudWatch, можно настроить централизованный доступ к протоколам из всех систем, приложений и веб-служб (AWS) Amazon через единую службу.

В настоящее время IBM Cloud Pak for Security поддерживает соединение с источником данных для получения протоколов Amazon GuardDuty и VPC Flow.

Процедура

  1. Войдите в IBM Cloud Pak for Security.
  2. На панели навигации щелкните на значке Параметры.
  3. Выберите Соединения > Источники данных.
  4. На вкладке Источники данных выберите Подключиться к источнику данных.
  5. Выберите тип источника данных.
  6. Настройте соединение, чтобы IBM Cloud Pak for Security смог подключаться к источнику данных.
    1. В поле Имя источника данных укажите имя, однозначно идентифицирующее соединение с источником данных.
      С одним источником данных можно создать несколько соединений, и их нужно уметь отличать друг от друга по имени. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    2. В поле Описание источника данных укажите, для чего нужно соединение с источником данных.
      С одним источником данных можно создать несколько соединений, поэтому каждое из них рекомендуется сопроводить описанием того, для чего оно используется. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. В поле App Host (необязательно) укажите, какой App Host необходимо использовать.

      Для того чтобы разместить контейнеры, необходимые для взаимодействия между источниками данных и IBM Cloud Pak for Security, в Edge Gateway App Host выберите соответствующий App Host. Выбранный Edge Gateway App Host должен иметь версию 1.6 или выше. Дополнительную информацию о компоненте Edge Gateway App Host можно найти в разделе Edge Gateway App Host.

    4. В поле Регион укажите регион CloudWatch для источника данных. Свой код региона можно узнать в столбце Region таблицы Service Endpoints в документе AWS General Reference guide (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
    5. В поле Имена групп протоколов укажите имена групп протоколов CloudWatch, с которыми необходимо установить соединение. Если имена групп протоколов не указаны, соединение устанавливается со всеми доступными группами протоколов.
      Это необязательное поле. Значение поля Имена групп протоколов задается в формате JSON и имеет следующий вид:
      {"<service_type>": "<имя-группы-протоколов-службы>"}
      Например:
      {"vpcflow": "vpcflow_log_group_name"}
      Для получения протоколов служб нескольких типов необходимо указать типы служб и связанные с ними имена групп протоколов в формате JSON через запятую. Например: 
      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}
  7. Укажите параметры запроса, управляющие выполнением запроса поиска в источнике данных.
    1. В поле Максимальное значение одновременно выполняемых операций поиска укажите число соединений, которые могут быть одновременно установлены между Cloud Pak for Security и источником данных. По умолчанию число соединений не превышает 4. Это значение должно быть не меньше 1 и не больше 100.
    2. В поле Предельное значение тайм-аута поиска запроса укажите максимальное время выполнения запроса в источнике данных в минутах. По умолчанию максимальное время равно 30. Если значение равно нулю, время не ограничено. Если время выполнения запроса составляет более 1 минуты, то это как правило свидетельствует о неполадке. Допустимы значения от 1 до 120.
    3. В поле Максимальный размер результатов укажите максимальное число записей или объектов, возвращаемых одним запросом поиска. Значение по умолчанию равно 10 000. Допустимы значения от 1 до 60 000.
    4. В поле Диапазон времени запроса укажите диапазон времени поиска в минутах, определяющий последние X минут. Значение по умолчанию равно 5 минутам. Допустимы значения от 1 до 10 000.
  8. Настройте идентификационные данные и доступ.
    1. Нажмите Добавить конфигурацию.
    2. В поле Имя конфигурации укажите имя, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. В поле Описание конфигурации укажите описание, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    4. Нажмите Изменить права доступа и выберите, каким пользователям разрешено подключаться к источнику данных и какой доступ им должен быть предоставлен.
    5. Настройте идентификацию в AWS, чтобы Cloud Pak for Security мог использовать API поиска AWS.
      • Для того чтобы настроить идентификацию по ключу AWS, введите значения в параметрах ИД ключа доступа AWS и Секретный ключ доступа AWS.
      • Для настройки идентификации на основе ролей AWS введите значения в параметрах ИД ключа доступа AWS, Секретный ключ доступа AWS и Роль IAM AWS.
      За дополнительной информацией об идентификации в AWS обратитесь к разделу Настройка идентификации AWS.
    6. Если в CloudWatch настроен собственный сертификат SSL, добавьте сертификат соединения.

      Для того чтобы убедиться в том, что вы имеете дело с собственным сертификатом, выполните поиск в Интернете по ключевым словам 'ssl decode', а затем скопируйте и вставьте сертификат в инструмент раскодирования сертификата. Если в поле Common Name задано локальное значение, например локальный-хост.локальный-домен, значит этот сертификат является собственным.

      Если имя хоста или IP-адрес не соответствуют значению поля Common Name, то необходимо задать индикатор имени сервера (SNI). SNI позволяет задать отдельное имя хоста при выполнении согласования TLS для соединения с ресурсом.

      Скопируйте сведения о сертификате и вставьте их в соответствующее поле.

    7. Нажмите Добавить.
    8. Для того чтобы сохранить конфигурацию и установить соединение, нажмите Готово.
    Добавленная конфигурация соединения с источником данных будет показана в списке Соединения на странице параметров источника данных. Соединение с источником данных указано в сообщении на карточке.

    При необходимости можно добавить другие конфигурации соединения с тем же источником данных для других пользователей с другими правами доступа.

  9. Протестируйте соединение, отправив запрос через IBM Security Data Explorer.

    Продукт IBM Cloud Pak for Security отображает данные, которые он получает из источника данных. Например, для использования Data Explorer должны быть установлены соединения с источниками данных, для того чтобы приложение могло выполнять запросы и получать результаты из универсального набора источников данных. Поиск будет давать разные результаты в зависимости от данных, содержащихся в настроенных источниках данных.

    За дополнительной информацией о создании запроса в Data Explorer обратитесь к разделу Создание запроса.