Wenig bekannte Funktionen von Illumio ASP – Protokollexport in Amazon S3-Buckets

In dieser kurzen Serie beleuchtet das Produktmanagement-Team von Illumio die weniger bekannten (aber nicht weniger leistungsfähigen) Funktionen von Illumio ASP.

Amazon Simple Storage Service (“S3”) is an easy to use, cost-efficient, scalable data storage service that can be used to store and retrieve any type of data from anywhere on the Internet. Although it has many uses, it is primarily used for backup and recovery, disaster recovery, data archives, and cloud storage.

In der Regel erstellt eine Organisation einen S3-Bucket, der einem über das Internet zugänglichen Dateiordner ähnelt. In diesem S3-Bucket können S3-Zugriffskontrollrichtlinien angewendet werden, um einer Organisation das Schreiben von Daten und anderen Organisationen das Lesen von Daten aus dem freigegebenen Speicherort zu ermöglichen. S3-Buckets können sich im Besitz einer Organisation befinden und von einer anderen Organisation geschrieben/gelesen werden. Darüber hinaus können langlebige, selten genutzte Daten kostengünstig gespeichert werden.

Neben einer Weboberfläche bietet S3 auch eine API für die Integration mit anderen Webservices.

Vendors write integrations that can read/write S3 data. Illumio CloudSecure, like other SaaS vendors, leverages Amazon S3 to write (deliver) logs to customers. Customers read (access) this data by connecting the S3 bucket to their SIEM or log analysis tools.

In der Regel erstellen Kunden ihren eigenen S3-Bucket und geben ihren Bucket-Namen und ihre Konto-ID an Illumio weiter. Um Kunden die Einrichtung zu erleichtern, haben wir einen Knowledge Base-Artikel veröffentlicht, der eine CloudFormation-Vorlage enthält. Durch das Laden dieser Vorlage in AWS können unsere Kunden die S3-Buckets erstellen und die erforderlichen Identity and Access Management (IAM)-Richtlinien in wenigen einfachen Schritten anwenden.

Alternatively, customers can request Illumio to create and host the S3 bucket on their behalf and simply access the data from their side. (Current customers: see this documentation for the CloudFormation template and additional details.)

Sobald der S3-Bucket eingerichtet ist, konfiguriert das SaaS-Operations-Team von Illumio die angegebene Konto-ID und den Bucket-Namen, um die Bereitstellung von Protokollen zu ermöglichen. Wir werden auch einige Unterordner in diesem S3-Bucket für verschiedene Datentypen erstellen. Die Protokolle werden innerhalb von 10 Minuten nach erfolgreicher Einrichtung im Batch bereitgestellt, und die Protokolldaten werden von Illumio in Batches zusammengefasst und alle 10 Minuten geschrieben.

Illumio Secure Cloud kann zwei Arten von Protokollen über Amazon S3 bereitstellen: Zusammenfassungen des Datenverkehrsflusses und Audit-Ereignisse. Traffic-Flow-Summarys sind Datensätze, die die Kommunikation zwischen Anwendungen in Ihrem Rechenzentrum anzeigen, d. h. den Ost-West-Verkehr. Audit-Ereignisse sind Aufzeichnungen über jede Änderung, die auf Illumio vorgenommen wurde. Zu diesen Überwachungsereignissen gehören nicht nur die traditionellen Wer/Was/Wann/Wo-Daten, sondern auch Benachrichtigungen und die tatsächlichen Ressourcenänderungen.

Both of these log types are structured messages in JSON format. Extensive documentation is available here.

SIEM-Anbieter wie Splunk und IBM QRadar bieten vorgefertigte Integrationen, die es ihren Produkten ermöglichen, den von S3 bereitgestellten generischen Speicher nahtlos zu nutzen.

• Splunk stellt das Splunk-Add-on für AWS bereit.
• QRadar provides a log source type of Amazon AWS CloudTrail, which can be used as a gateway log source to pass data to other log sources.

We’ll be back with another edition of our “Little Known Features” soon, but in the meantime, message our product team at [email protected] for more information!