Características pouco conhecidas do Illumio ASP — Exportação de log para Amazon S3 Buckets

Nesta série rápida, a equipe de gerenciamento de produtos da Illumio destacará os recursos menos conhecidos (mas não menos poderosos) do Illumio ASP.

Amazon Simple Storage Service (“S3”) is an easy to use, cost-efficient, scalable data storage service that can be used to store and retrieve any type of data from anywhere on the Internet. Although it has many uses, it is primarily used for backup and recovery, disaster recovery, data archives, and cloud storage.

Normalmente, uma organização cria um bucket do S3, que é semelhante a uma pasta de arquivos acessível pela Internet. Nesse bucket do S3, as políticas de controle de acesso do S3 podem ser aplicadas para permitir que uma organização grave dados e que outras organizações leiam dados do local de armazenamento compartilhado. Os buckets do S3 podem pertencer a uma organização e ser gravados/lidos por outra organização. Além disso, dados de longa duração e usados com pouca frequência podem ser armazenados de forma barata.

Além de uma interface web, o S3 também fornece uma API para integração com outros serviços da web.

Vendors write integrations that can read/write S3 data. Illumio CloudSecure, like other SaaS vendors, leverages Amazon S3 to write (deliver) logs to customers. Customers read (access) this data by connecting the S3 bucket to their SIEM or log analysis tools.

Normalmente, os clientes criam seu próprio bucket do S3 e fornecem o nome do bucket e o ID da conta à Illumio. Para facilitar a configuração dos clientes, publicamos um artigo da base de conhecimento que inclui um modelo do CloudFormation. Ao carregar esse modelo na AWS, nossos clientes podem criar os buckets do S3 e aplicar as políticas necessárias de gerenciamento de identidade e acesso (IAM) em algumas etapas fáceis.

Alternatively, customers can request Illumio to create and host the S3 bucket on their behalf and simply access the data from their side. (Current customers: see this documentation for the CloudFormation template and additional details.)

Depois que o bucket do S3 estiver configurado, a equipe de operações SaaS da Illumio configurará o ID da conta e o nome do bucket fornecidos para permitir a entrega de registros. Também criaremos algumas subpastas nesse bucket do S3 para diferentes tipos de dados. Os registros são entregues em lote dentro de 10 minutos após a configuração bem-sucedida, e os dados de registro são agrupados pela Illumio e gravados a cada 10 minutos.

O Illumio Secure Cloud pode fornecer dois tipos de registros por meio do Amazon S3: resumos do fluxo de tráfego e eventos de auditoria. Os resumos do fluxo de tráfego são registros que mostram a comunicação entre aplicativos em seu data center, ou seja, tráfego leste-oeste. Os eventos de auditoria são registros de todas as alterações feitas no Illumio. Esses eventos de auditoria incluem não apenas os dados tradicionais de quem/quando/onde, mas também notificações e mudanças reais de recursos.

Both of these log types are structured messages in JSON format. Extensive documentation is available here.

Fornecedores de SIEM, como Splunk e IBM QRadar, fornecem integrações pré-construídas que permitem que seus produtos utilizem perfeitamente o armazenamento genérico fornecido pelo S3.

• A Splunk fornece o complemento Splunk para a AWS.
• QRadar provides a log source type of Amazon AWS CloudTrail, which can be used as a gateway log source to pass data to other log sources.

We’ll be back with another edition of our “Little Known Features” soon, but in the meantime, message our product team at [email protected] for more information!