Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Vorhandenen AWS CloudTrail integrieren

Wenn Sie einen vorhandenen AWS CloudTrail in Sophos Central integrieren möchten, müssen Sie ihn zuerst konfigurieren.

Um Ihren Trail zu prüfen und zu konfigurieren, gehen Sie wie folgt vor:

Trail überprüfen

  1. Rufen Sie in AWS Ihr CloudTrail-Dashboard auf und kopieren Sie den Namen Ihres Export-Buckets.

    Dies wird zur Konfiguration des SNS-Topics verwendet und wird später in Sophos Central verwendet.

  2. Sie können auch das Präfix S3 für den Bucket kopieren, um es später zu verwenden. Bucket-Präfixe sind optional.

    Weitere Informationen zu den Bucket-Präfixen für S3 finden Sie in der Hilfe von Amazon in den Schritten zum Erstellen eines neuen Buckets. Siehe Erstellen eines Trails.

    Der folgende Screenshot zeigt, wie Sie den Bucket-Namen und das Bucket-Präfix auswählen.

    Screenshot mit Abschnitten des CloudTrail-Speicherorts, die für den Namen und das Präfix des Buckets kopiert werden sollen

Konfigurieren des SNS-Topics und der Zugriffsrichtlinie

  1. Erstellen Sie in AWS ein SNS-Thema in derselben Region, in der Ihr S3-Bucket zum Exportieren von CloudTrail verwendet wird, oder bearbeiten Sie ein vorhandenes SNS-Topic.
  2. Kopieren Sie den Namen dieses SNS-Topics.
  3. Geben Sie im JSON-Editor die Zugriffsrichtlinie wie folgt an:

    1. Ersetzen Sie den Resource-Wert durch den verwendeten SNS ARN.
    2. Ersetzen Sie den Bucket-Namen in Condition durch den zuvor kopierten CloudTrail-Bucket-Namen.

      Der folgende Screenshot zeigt einen JSON-Editor für SNS-Topics mit den Zeilen, die angepasst werden sollen.

      Screenshot mit SNS-Topic-JSON-Editor mit Zeilen, die angepasst werden sollen

      In AWS wird die Zugriffsrichtlinie als optional angezeigt, bei Sophos Central ist sie jedoch nicht optional. Es ist erforderlich, S3-Bucket-Benachrichtigungen einzurichten.

  4. Speichern Sie das SNS-Topic.

S3-Bucket-Benachrichtigungen konfigurieren

  1. Gehen Sie in AWS zu Ihrem S3-Bucket.
  2. Um ein neues Benachrichtigungsereignis einzurichten, wählen Sie Eigenschaften > Ereignisse > Benachrichtigung hinzufügen.
  3. Vergewissern Sie sich, dass zu CloudTrail-Erstellungs-Ereignissen keine Benachrichtigungen eingerichtet sind.
  4. Geben Sie einen Namen für das Benachrichtigungsereignis ein.
  5. Wählen Sie Alle Objekte erstellen Ereignisse.
  6. Geben Sie Folgendes ein: json.gz als Suffix-Wert.
  7. Um Ihren Präfix-Wert zu erstellen, geben Sie das zuvor kopierte Bucket-Präfix ein, dann /AWSLogs/, dann Ihre Konto-ID und dann /CloudTrail/.

    Das Format muss wie folgt lauten: <Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/

    Wenn Sie einen von AWS-Organisationen verwalteten CloudTrail verwenden oder CloudTrails aus mehreren Konten in ein einziges Konto exportieren, müssen Sie für jede Konto-ID ein separates Ereignis erstellen.

  8. Stellen Sie Senden an auf SNS ein und verwenden Sie den Namen des zuvor erstellten SNS-Topics.

    Der folgende Screenshot zeigt die Einstellungen im Menü „Ereignisse“.

    Screenshot mit den Einstellungen im Menü „Ereignisse“

  9. Klicken Sie auf Speichern.

    Erfolgsbenachrichtigungen werden jetzt in den Eigenschaften Ihres S3-Bucket angezeigt.

Gehen Sie zu Sophos Central und fahren Sie mit der Integration Ihres AWS CloudTrails fort.