# サードパーティーデータソースの統合 CloudWatch パイプラインをサードパーティーデータソースと統合することで、外部のセキュリティツール、ID プロバイダー、およびモニタリングプラットフォームを CloudWatch パイプラインに接続して、一元化されたデータ分析を行うことができます。この統合により、複数のソースからのセキュリティイベント、監査ログ、およびテレメトリデータが統合されます。 **注記** サードパーティーソースから収集されたデータは、CloudWatch パイプラインによって収集されるときに、必要なスキーマに準拠するように書き換えられます。元のデータソースは CloudWatch によって保持されません。 サードパーティーデータは、次の 2 つの方法で収集できます。 1. **直接の API 統合** – 一部のソースでは、コネクタの設定に API 認証情報のみを指定することを求められる Event Stream API を提供しています。 1. **S3 バケット統合** – ソースからのデータをカスタマーマネージド S3 バケットに取り込み、CloudWatch パイプラインが収集できるようにします。 次の表は、サポートされているサードパーティーデータプラットフォームで使用される統合方法を示しています。 | ソース | 統合パターン | S3 バケットが必要 | SQS キューが必要 | Secrets Manager 拡張機能を使用 | 必要な IAM ポリシー | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | S3 配信 | はい | はい | いいえ | [ソース固有の IAM ポリシー](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Entra ID | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Palo Alto Networks 次世代ファイアウォール | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Windows イベントログ | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Wiz CNAPP | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | S3 配信 | はい | はい | いいえ | [ソース固有の IAM ポリシー](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | S3 配信 | はい | はい | いいえ | [ソース固有の IAM ポリシー](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | API | いいえ | いいえ | はい (オプション) | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | ServiceNow CMDB | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | S3 配信 | はい | はい | いいえ | [ソース固有の IAM ポリシー](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin Identity | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Entrust IDaaS | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | | Drupal Core | API | いいえ | いいえ | はい | [API 発信者のアクセス許可](pipeline-iam-reference.md#api-caller-permissions) | Security Hub CSPM を介して送信されるサードパーティー統合もサポートされています。サポートされているパートナーや「検出結果を送信する」方向がある統合設定など、Security Hub のサードパーティー統合に関する包括的な情報については、「[Security Hub のサードパーティー統合ドキュメント](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)」を参照してください。 AWS Security Hub (Security Hub CSPM とは異なります) は、データソースとしてサードパーティー統合もサポートしています。サポートされている統合の完全なリストについては、「[Security Hub のサードパーティー統合ドキュメント](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html)」を参照してください。 **データ変換と標準化** サードパーティー統合は標準化された形式へのデータ変換をサポートし、一貫した分析を実現します。 + **Open Cybersecurity Schema Framework (OCSF)** – さまざまなベンダーのセキュリティイベントを共通のスキーマに変換して、脅威の検出と分析を統合します。OCSF は特定のイベントクラスのみを対象としているため、すべての未加工イベントが OCSF にマッピングされるわけではありません。 + **カスタム変換** – パイプラインプロセッサがデータ形式を正規化し、追加のコンテキストでイベントを強化し、関連情報をフィルタリングします。 + **フィールドマッピング** – 一貫したクエリと分析のために、ベンダー固有のフィールドを標準化されたフィールド名に自動的にマッピングします。 **注記** サードパーティーソースからのテレメトリデータを OCSF に保存する機能はオプションであり、すべてのデータソースで使用できるとは限りません。 **ロググループ** サードパーティーデータは CloudWatch ロググループに取り込まれます。AWS マネジメントコンソール を使用して CloudWatch パイプラインを設定している場合、ロググループが存在しない場合は、ウィザードプロセスによって自動的に作成されます。 **認証とセキュリティ** サードパーティー統合では、転送中のデータを保護するためにセキュアな認証方法が使用されます。 + **OAuth 2.0 とアプリケーション登録** – Microsoft や Okta などのクラウドプラットフォーム用のセキュアなトークンベースの認証。 + **API キーと証明書** – 直接 API アクセスのための暗号化された認証用の認証情報。 + **IAM ロールとポリシー** – セキュアな S3 バケットアクセスとクロスアカウントデータ共有を実現する AWS Identity and Access Management 統合。 **注記** サードパーティーソースから収集されたデータは、CloudWatch パイプラインによって収集されるときに、必要なスキーマに準拠するように書き換えられます。元のデータソースは CloudWatch によって保持されません。 各統合には、AWS 環境へのセキュアなデータ配信を確立するためのプラットフォーム固有の設定が必要です。 以下のセクションでは、サポートされているサードパーティー統合の詳細なセットアップ手順について説明します。各統合には、適切なデータフローを確保するための前提条件、設定ステップ、および検証手順が含まれています。