# Integración de orígenes de datos de terceros La integración de las canalizaciones de CloudWatch con un origen de datos de terceros le permite conectar plataformas de supervisión, proveedores de identidad y herramientas de seguridad externas a las canalizaciones de CloudWatch para un análisis de datos centralizado. Esta integración consolida los eventos de seguridad, los registros de auditoría y los datos de telemetría de varios orígenes. **nota** Los datos recopilados de orígenes de terceros se modifican para cumplir con el esquema requerido cuando los recopilan las canalizaciones de CloudWatch. CloudWatch no retiene el origen de datos original. Los datos de terceros se pueden recopilar mediante dos métodos: 1. **Integración de la API directa**: algunos orígenes ofrecen API de transmisión de eventos, donde solo es necesario proporcionar las credenciales de la API para configurar el conector 1. **Integración de buckets de S3**: los datos de los orígenes se pueden ingerir en un bucket de S3 administrado por el cliente para que los recopilen las canalizaciones de CloudWatch En la siguiente tabla se indican los métodos de integración que utilizan las plataformas de datos de terceros compatibles: | Origen | Patrón de integración | Requiere un bucket de S3 | Requiere una cola de SQS | Usa la extensión de Secrets Manager | Políticas de IAM obligatorias | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | Entrega de S3 | Sí | Sí | No | [Políticas de IAM específicas del origen](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | ID de Microsoft Entra | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Firewall de nueva generación de Palo Alto Networks | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Registros de eventos de Microsoft Windows | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | CNAPP de Wiz | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | Entrega de S3 | Sí | Sí | No | [Políticas de IAM específicas del origen](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | Entrega de S3 | Sí | Sí | No | [Políticas de IAM específicas del origen](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | API | No | No | Sí (opcional) | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | CMDB de ServiceNow | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | Entrega de S3 | Sí | Sí | No | [Políticas de IAM específicas del origen](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin Identity | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | IDaaS de Entrust | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | | Drupal Core | API | No | No | Sí | [Permisos para intermediarios que llaman a la API](pipeline-iam-reference.md#api-caller-permissions) | También se admite la integración de terceros enviada a través de Security Hub CSPM. Para obtener información completa sobre las integraciones de terceros de Security Hub, incluidos los socios admitidos y las configuraciones de integración con la dirección “Envía resultados”, consulte la [documentación de integración de terceros de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). AWS Security Hub (independiente del CSPM de Security Hub) también admite integraciones externas como orígenes de datos. Para obtener la lista completa de integraciones compatibles, consulte la documentación [Integraciones de tercerso de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html). **Transformación y estandarización de datos** Las integraciones de terceros admiten la transformación de datos a formatos estandarizados para un análisis coherente: + **Marco de esquema de ciberseguridad abierto (OCSF)**: convierte los eventos de seguridad de diferentes proveedores en un esquema común para la detección y el análisis unificados de las amenazas. Como el OCSF es solo para determinadas clases de eventos, no todos los eventos sin procesar se asignan al OCSF. + **Transformaciones personalizadas**: procesadores de canalizaciones que normalizan formatos de datos, enriquecen eventos con un contexto adicional y filtran información pertinente. + **Asignación de campos**: asignación automática de campos específicos del proveedor a nombres de campo estandarizados para consultas y análisis coherentes. **nota** El almacenamiento de datos de telemetría de orígenes de terceros en el OCSF es una característica opcional que puede no estar disponible para todos los orígenes de datos. **Grupo de registro** Los datos de terceros se ingieren a un grupo de registro de CloudWatch. Si utiliza la Consola de administración de AWS para configurar las canalizaciones de CloudWatch si el grupo de registro no existe, se crea automáticamente mediante el proceso del asistente. **Autenticación y seguridad** Las integraciones de terceros utilizan métodos de autenticación seguros para proteger los datos en tránsito: + **OAuth 2.0 y registro de aplicaciones**: autenticación segura basada en tokens para plataformas en la nube como Microsoft y Okta. + **Certificados y claves de API**: credenciales de autenticación cifradas para el acceso directo a la API. + **Políticas y roles de IAM**: integración de AWS Identity and Access Management para un acceso al bucket de S3 y un intercambio de datos entre cuentas seguros. **nota** Los datos recopilados de orígenes de terceros se modifican para cumplir con el esquema requerido cuando los recopilan las canalizaciones de CloudWatch. CloudWatch no retiene el origen de datos original. Cada integración requiere una configuración específica de la plataforma para establecer una entrega segura de datos al entorno de AWS. En las siguientes secciones se proporcionan procedimientos de configuración detallados para las integraciones de terceros compatibles. Cada integración incluye requisitos previos, pasos de configuración y procedimientos de validación para garantizar un flujo de datos adecuado.