Características poco conocidas de Illumio ASP - Exportación de registros a buckets de Amazon S3

En este serial rápido, el equipo de gestión de productos de Illumio destacará las características menos conocidas (pero no menos poderosas) de Illumio ASP.

Amazon Simple Storage Service (“S3”) is an easy to use, cost-efficient, scalable data storage service that can be used to store and retrieve any type of data from anywhere on the Internet. Although it has many uses, it is primarily used for backup and recovery, disaster recovery, data archives, and cloud storage.

Normalmente, una organización crea un bucket de S3, que es similar a una carpeta de archivos accesible desde Internet. En este bucket de S3, se pueden aplicar políticas de control de acceso de S3 para permitir que una organización escriba datos y otras organizaciones lean datos desde la ubicación de almacenamiento compartida. Los buckets de S3 pueden ser propiedad de una organización y ser escritos o leídos por otra organización. Además, los datos de larga duración y de uso poco frecuente se pueden almacenar a bajo costo.

Además de una interfaz sitio web, S3 también proporciona una API para la integración con otros servicios sitio web.

Vendors write integrations that can read/write S3 data. Illumio CloudSecure, like other SaaS vendors, leverages Amazon S3 to write (deliver) logs to customers. Customers read (access) this data by connecting the S3 bucket to their SIEM or log analysis tools.

Por lo general, los clientes crean su propio bucket de S3 y proporcionan su nombre de bucket e ID de cuenta a Illumio. Para facilitar a los clientes la configuración, publicamos un artículo de la base de conocimientos que incluye una plantilla de CloudFormation. Al cargar esta plantilla en AWS, nuestros clientes pueden crear los buckets de S3 y aplicar las políticas de administración de identidades y accesos (IAM) necesarias en unos sencillos pasos.

Alternatively, customers can request Illumio to create and host the S3 bucket on their behalf and simply access the data from their side. (Current customers: see this documentation for the CloudFormation template and additional details.)

Una vez configurado el bucket de S3, el equipo de operaciones de SaaS de Illumio configurará el ID de cuenta y el nombre del bucket proporcionados para habilitar la entrega de registros. También crearemos un par de subcarpetas en ese bucket de S3 para diferentes tipos de datos. Los registros se entregan por lotes dentro de los 10 minutos posteriores a la configuración correcta, e Illumio procesa por lotes los datos de registro y los escribe cada 10 minutos.

Illumio Secure Cloud puede proporcionar dos tipos de registros a través de Amazon S3: resúmenes de flujo de tráfico y eventos de auditoría. Los resúmenes de flujo de tráfico son registros que muestran la comunicación de aplicación a aplicación en su centro de datos, es decir, el tráfico este-oeste. Los eventos de auditoría son registros de todos los cambios realizados en Illumio. Estos eventos de auditoría incluyen no solo los datos tradicionales de quién/qué/cuándo/dónde, sino también notificaciones y los cambios reales de recursos.

Both of these log types are structured messages in JSON format. Extensive documentation is available here.

Los proveedores de SIEM como Splunk e IBM QRadar proporcionan integraciones prediseñadas que permiten a sus productos emplear sin problemas el almacenamiento genérico proporcionado por S3.

• Splunk proporciona el complemento Splunk para AWS.
• QRadar provides a log source type of Amazon AWS CloudTrail, which can be used as a gateway log source to pass data to other log sources.

We’ll be back with another edition of our “Little Known Features” soon, but in the meantime, message our product team at [email protected] for more information!