주요 콘텐츠로 건너뛰기
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

AWS CloudTrail

API

이 기능을 사용하려면 "Public Cloud" 통합 라이선스 팩이 있어야 합니다.

Sophos Central에 AWS CloudTrail을 통합하면 Sophos로 로그를 전송하여 분석할 수 있습니다.

시작하기 전에

통합 중에, 복사 및 실행할 명령이 제공됩니다. AWS CLI가 설치된 로컬 터미널 또는 AWS CloudShell에서 이러한 명령을 실행해야 합니다. AWS CLI 설정 방법을 알아보려면 AWS CLI 시작하기를 참조하십시오.

"관리자" 역할을 가진 IAM 사용자로부터 명령을 실행해야 합니다. 이러한 계정에 대한 액세스 권한이 없는 경우 특정 권한이 있는 사용자 지정 역할을 만들 수 있습니다. 필요한 권한은 사용자 지정 역할 권한에 있습니다.

AWS CloudTrail 통합 설정

AWS 환경을 통합하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터로 이동하여 통합을 클릭합니다.
  2. AWS CloudTrail을 클릭합니다.

    AWS 환경에 대한 연결을 이미 설정한 경우 여기에 표시됩니다.

  3. 추가를 클릭합니다. 통합 단계 도우미는 AWS 환경에 연결하는 프로세스를 안내합니다.

  4. 1단계에서 AWS Organisations 사용 여부를 선택합니다.
  5. 새 리소스를 만들거나 기존 리소스를 사용하도록 선택합니다.
  6. 양식의 나머지 부분에 AWS 세부 정보를 입력합니다.
  7. 저장 및 계속을 클릭합니다.
  8. 2단계에서 curl 명령을 복사합니다.
  9. AWS CLI가 설치된 로컬 터미널 또는 AWS CloudShell로 이동하여 curl 명령을 실행합니다.

    이 명령은 통합 스크립트를 다운로드합니다.

  10. Sophos Central로 이동합니다.

  11. 3단계에서 통합 명령을 복사합니다.
  12. AWS CLI가 설치된 로컬 터미널 또는 AWS CloudShell로 이동하여 통합 명령을 실행합니다.

    이 스크립트는 AWS CloudTrail을 Sophos Central과 통합합니다.

  13. Sophos Central로 이동합니다.

AWS 환경이 목록에 나타납니다.

AWS CloudTrail 통합 관리

AWS 환경의 이름을 클릭하여 설정을 편집할 수 있습니다.

상태는 AWS 환경과의 통합 상태를 표시합니다. 이는 일시 중지, 활성, 연결 해제 또는 삭제됨일 수 있습니다.

자세히 아이콘을 클릭하고 현재 상태에 따라 작업을 선택할 수 있습니다.

AWS CloudTrail 통합 설정 메뉴.

연결을 삭제하려면 삭제를 클릭합니다. 도우미가 AWS CLI 명령을 사용하여 연결을 삭제하는 프로세스를 안내합니다.

Sophos 라이선스가 만료되면 연결이 일시 중지됩니다. 라이선스를 갱신하면 연결이 자동으로 활성 상태가 됩니다.

AWS Organizations 계정 포함

AWS Organizations를 사용하는 경우 데이터 수집에 포함할 계정을 선택할 수 있습니다.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
  2. AWS CloudTrail을 클릭합니다.

    통합 목록이 나타납니다.

  3. 변경할 통합의 이름을 클릭합니다.

    통합 수가 많은 경우 필터를 사용하여 AWS Organizations를 사용하는 통합을 나열합니다.

  4. 세부 정보 편집 > 계정에서 데이터를 수집할 계정 ID 목록을 쉼표로 구분하여 추가할 수 있습니다.

  5. 저장을 클릭합니다.

이제 목록에 있는 AWS 계정에서만 데이터를 수집합니다.

사용자 지정 역할 권한

"관리자" 역할을 가진 IAM 사용자로부터 제공되는 AWS 명령을 실행할 수 있습니다.

대신 사용자 지정 역할을 설정하려면 다음 권한을 사용하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy",
                "iam:PassRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:CreateServiceLinkedRole",
                "iam:CreateInstanceProfile",
                "iam:TagRole",
                "tag:TagResources",
                "ec2:DescribeRegions",
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration",
                "s3:GetBucket*",
                "s3:PutBucketTagging",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketNotification",
                "s3:GetAccelerateConfiguration",
                "sns:GetTopicAttributes",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:Subscribe",
                "sns:AddPermission",
                "sns:RemovePermission",
                "sns:Unsubscribe",
                "sns:TagResource",
                "sns:SetTopicAttributes",
                "sns:ListTagsForResource",
                "sns:GetSubscriptionAttributes",
                "sts:GetCallerIdentity",
                "lambda:AddPermission",
                "lambda:CreateFunction",
                "lambda:GetFunction",
                "lambda:GetPolicy",
                "lambda:ListVersionsByFunction",
                "lambda:TagResource",
                "cloudtrail:CreateTrail",
                "cloudtrail:DescribeTrails",
                "cloudtrail:PutEventSelectors",
                "cloudtrail:StartLogging",
                "cloudtrail:UpdateTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:ListTags",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:AddTags",
                "cloudtrail:GetInsightSelectors",
                "logs:CreateLogGroup",
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:CreateLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:PutSubscriptionFilter",
                "logs:PutRetentionPolicy",
                "logs:ListTagsLogGroup"
            ],
            "Resource": "*"
        }
    ]
}