Aller au contenu
Découvrez comment nous prenons en charge MDR.

AWS CloudTrail

API

Vous devez avoir un pack de licence d’intégration « Public Cloud » pour utiliser cette fonction.

Vous pouvez intégrer AWS CloudTrail à Sophos Central pour lui permettre d’envoyer des journaux à Sophos pour analyse.

Avant de commencer

Au cours de l’intégration, nous vous donnons des commandes à copier et à exécuter. Vous devez exécuter ces commandes sur un ordinateur local sur lequel l’interface de ligne de commande AWS est installée, ou dans AWS CloudShell. Retrouvez plus de renseignements sur la configuration de l’interface de ligne de commande AWS sur Prise en main de l’interface de ligne de commande AWS.

Veuillez exécuter ces commandes en tant qu’utilisateur IAM avec le rôle « Administrateur ». Si vous n’avez pas accès à un tel compte, vous pouvez créer un rôle personnalisé avec des autorisations spécifiques. Les autorisations dont vous avez besoin se trouvent dans Autorisations de rôle personnalisé.

Configurer une intégration AWS CloudTrail

Pour intégrer votre environnement AWS, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur AWS CloudTrail.

    Si vous avez déjà configuré des connexions aux environnements AWS, vous les voyez ici.

  3. Cliquez sur Ajouter. L’assistant Étapes d’intégration vous guide tout au long du processus de connexion à votre environnement AWS.

  4. À l’Étape 1, indiquez si vous utilisez ou non AWS Organizations.
  5. Choisissez de créer de nouvelles ressources ou d’utiliser des ressources existantes.
  6. Remplissez le reste du formulaire avec vos détails AWS.
  7. Cliquez sur Enregistrer et continuer.
  8. À l’Étape 2, copiez la commande curl.
  9. Accédez à un terminal local sur lequel l’interface de ligne de commande AWS est installée ou à AWS CloudShell et exécutez la commande curl.

    Cette commande télécharge le script d’intégration.

  10. Allez dans Sophos Central.

  11. À l’Étape 3, copiez la commande d’intégration.
  12. Accédez à un terminal local sur lequel l’interface de ligne de commande AWS est installée ou à AWS CloudShell et exécutez la commande d’intégration.

    Le script intègre votre CloudTrail AWS avec Sophos Central.

  13. Allez dans Sophos Central.

L’environnement AWS apparaît dans la liste.

Gérer les intégrations AWS CloudTrail

Vous pouvez cliquer sur le nom de l’environnement AWS pour modifier les paramètres.

État affiche l’état de l’intégration avec un environnement AWS. Il peut être mis en pause, activé, déconnecté ou supprimé.

Vous pouvez cliquer sur l’icône Plus et sélectionner des actions en fonction de l’état actuel.

Menu des paramètres d’intégration d’AWS CloudTrail.

Pour supprimer une connexion, cliquez sur Supprimer. Un assistant vous guide tout au long du processus de suppression de la connexion, à l’aide des commandes de l’interface de ligne de commandes AWS.

Lorsque votre licence Sophos expire, vos connexions sont interrompues. Lorsque vous renouvelez votre licence, les connexions deviennent automatiquement Actives.

Inclure les comptes AWS Organizations

Si vous utilisez AWS Organizations, vous pouvez choisir les comptes à inclure dans la collecte de données.

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur AWS CloudTrail.

    Une liste de vos intégrations s’affiche.

  3. Cliquez sur le nom de l’intégration à modifier.

    Si vous disposez de nombreuses intégrations, utilisez le filtre pour répertorier les intégrations qui utilisent AWS Organizations.

  4. Dans Modifier les détails > Comptes , vous pouvez ajouter une liste d’ID de compte séparés par des virgules pour lesquels vous souhaitez collecter des données.

  5. Cliquez sur Enregistrer.

Nous ne collectons maintenant que les données des comptes AWS de la liste.

Autorisations de rôle personnalisé

Vous pouvez exécuter ces commandes AWS depuis un utilisateur IAM avec le rôle « Administrateur ».

Si vous souhaitez configurer un rôle personnalisé à la place, utilisez les autorisations suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy",
                "iam:PassRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:CreateServiceLinkedRole",
                "iam:CreateInstanceProfile",
                "iam:TagRole",
                "tag:TagResources",
                "ec2:DescribeRegions",
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration",
                "s3:GetBucket*",
                "s3:PutBucketTagging",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketNotification",
                "s3:GetAccelerateConfiguration",
                "sns:GetTopicAttributes",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:Subscribe",
                "sns:AddPermission",
                "sns:RemovePermission",
                "sns:Unsubscribe",
                "sns:TagResource",
                "sns:SetTopicAttributes",
                "sns:ListTagsForResource",
                "sns:GetSubscriptionAttributes",
                "sts:GetCallerIdentity",
                "lambda:AddPermission",
                "lambda:CreateFunction",
                "lambda:GetFunction",
                "lambda:GetPolicy",
                "lambda:ListVersionsByFunction",
                "lambda:TagResource",
                "cloudtrail:CreateTrail",
                "cloudtrail:DescribeTrails",
                "cloudtrail:PutEventSelectors",
                "cloudtrail:StartLogging",
                "cloudtrail:UpdateTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:ListTags",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:AddTags",
                "cloudtrail:GetInsightSelectors",
                "logs:CreateLogGroup",
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:CreateLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:PutSubscriptionFilter",
                "logs:PutRetentionPolicy",
                "logs:ListTagsLogGroup"
            ],
            "Resource": "*"
        }
    ]
}