Saltar al contenido
Descubra cómo apoyamos MDR.

AWS CloudTrail

API

Añade registros de AWS CloudTrail a Sophos Data Lake.

Antes de empezar

Durante la integración le proporcionamos comandos para copiar y ejecutar. Debe ejecutar estos comandos en una terminal local con la AWS CLI instalada, o en AWS CloudShell. Para saber cómo configurar AWS CLI, consulte Introducción al AWS CLI.

Debe ejecutar los comandos como usuario de IAM con el rol "Administrador". Si no tiene acceso a una cuenta de este tipo, puede crear un rol personalizado con permisos específicos. Los permisos que necesita se encuentran en Permisos de rol personalizado.

Configurar una integración de AWS CloudTrail

Para integrar su entorno de AWS, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en AWS CloudTrail.

    Si ya ha configurado conexiones con entornos AWS, puede verlas aquí.

  3. Haga clic en Añadir una integración. El asistente de Pasos de integración le guiará a través del proceso de conexión a su entorno AWS.

  4. En el Paso 1, seleccione si está utilizando AWS Organisations o no.
  5. Elija crear nuevos recursos o utilizar los existentes.
  6. Rellene el resto del formulario con sus datos de AWS.
  7. Haga clic en Guardar y continuar.
  8. En el Paso 2, copie el comando curl.
  9. Vaya a una terminal local con la AWS CLI instalada, o a AWS CloudShell, y ejecute el comando curl.

    Este comando descarga el script de integración.

  10. Vaya a Sophos Central.

  11. En el Paso 3, copie el comando de integración.
  12. Vaya a una terminal local con la AWS CLI instalada, o a AWS CloudShell, y ejecute el comando de integración.

    El script integra su AWS CloudTrail con Sophos Central.

  13. Vaya a Sophos Central.

El entorno AWS aparece en la lista.

Gestionar las integraciones de AWS CloudTrail

Puede hacer clic en el nombre del entorno de AWS para editar la configuración.

Estado muestra el estado de la integración con un entorno AWS. Puede estar en pausa, activo, desconectado o eliminado.

Puede hacer clic en el icono Más y seleccionar acciones, dependiendo del estado actual.

Menú de configuración de la integración de AWS CloudTrail

Para eliminar una conexión, haga clic en Eliminar. Un asistente le guiará a través del proceso de eliminación de la conexión con comandos de AWS CLI.

Cuando su licencia de Sophos caduca, las conexiones se pausarán. Al renovar la licencia, las conexiones se convierten automáticamente en activas.

Incluir cuentas de AWS Organisations

Si utiliza AWS Organisations, puede elegir qué cuentas desea incluir en la recopilación de datos.

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en AWS CloudTrail.

    Aparecerá una lista de las integraciones.

  3. Haga clic en el nombre de la integración que desee modificar.

    Si tiene muchas integraciones, utilice el filtro para mostrar las integraciones que utilizan AWS Organisations.

  4. En Editar detalles > Cuentas puede añadir una lista separada por comas de los ID de cuenta para los que desea recopilar datos.

  5. Haga clic en Guardar.

Ahora solo recopilamos datos de las cuentas de AWS de la lista.

Permisos de rol personalizado

Puede ejecutar los comandos de AWS que le proporcionamos como usuario de IAM con el rol "Administrador".

Si en cambio desea configurar un rol personalizado, utilice los siguientes permisos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy",
                "iam:PassRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:CreateServiceLinkedRole",
                "iam:CreateInstanceProfile",
                "iam:TagRole",
                "tag:TagResources",
                "ec2:DescribeRegions",
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration",
                "s3:GetBucket*",
                "s3:PutBucketTagging",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketNotification",
                "s3:GetAccelerateConfiguration",
                "sns:GetTopicAttributes",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:Subscribe",
                "sns:AddPermission",
                "sns:RemovePermission",
                "sns:Unsubscribe",
                "sns:TagResource",
                "sns:SetTopicAttributes",
                "sns:ListTagsForResource",
                "sns:GetSubscriptionAttributes",
                "sts:GetCallerIdentity",
                "lambda:AddPermission",
                "lambda:CreateFunction",
                "lambda:GetFunction",
                "lambda:GetPolicy",
                "lambda:ListVersionsByFunction",
                "lambda:TagResource",
                "cloudtrail:CreateTrail",
                "cloudtrail:DescribeTrails",
                "cloudtrail:PutEventSelectors",
                "cloudtrail:StartLogging",
                "cloudtrail:UpdateTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:ListTags",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:AddTags",
                "cloudtrail:GetInsightSelectors",
                "logs:CreateLogGroup",
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:CreateLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:PutSubscriptionFilter",
                "logs:PutRetentionPolicy",
                "logs:ListTagsLogGroup"
            ],
            "Resource": "*"
        }
    ]
}