Vai al contenuto
Informazione sul supporto di MDR.

Integrazione di un AWS CloudTrail già esistente

Se si desidera integrare un CloudTrail AWS già esistente con Sophos Central, occorre prima configurarlo.

Per verificare e configurare il trail, procedere come indicato di seguito.

Verifica del trail

  1. In AWS, accedere alla dashboard di CloudTrail e copiare il nome del bucket di esportazione.

    Serve a configurare l’argomento SNS e verrà utilizzato in Sophos Central in un secondo momento.

  2. È anche possibile copiare il prefisso del bucket S3 per utilizzarlo in seguito. I prefissi del bucket sono facoltativi.

    Per ulteriori dettagli sui prefissi dei bucket S3, vedere la procedura per la creazione di un nuovo bucket nella guida di Amazon. Vedere Creazione di un percorso.

    Lo screenshot seguente mostra come selezionare il nome e il prefisso del bucket.

    Screenshot che mostra le sezioni del percorso di CloudTrail da copiare per il nome e il prefisso del bucket

Configurazione dell’argomento SNS e dei criteri di accesso

  1. In AWS, creare un argomento SNS nella stessa regione in cui viene utilizzato il bucket S3 per esportare CloudTrail o modificare un argomento SNS esistente.
  2. Copiare il nome di questo argomento SNS.
  3. Nell’editor JSON, specificare il criterio di accesso nel modo seguente:

    1. Sostituire il valore di Resource con l’ARN dell’SNS in uso.
    2. Sostituire il nome del bucket in Condition con il nome del bucket CloudTrail copiato in precedenza.

      Lo screenshot che segue mostra un editor JSON per un argomento SNS con le righe da personalizzare.

      Screenshot che mostra un editor JSON per un argomento SNS con righe da personalizzare

      In AWS il criterio di accesso viene visualizzato come facoltativo, ma non è opzionale in Sophos Central. È richiesto per configurare notifiche per i bucket S3.

  4. Salvare l’argomento SNS.

Configurazione delle notifiche per i bucket S3

  1. In AWS, selezionare il bucket S3.
  2. Per impostare un nuovo evento di notifica, selezionare Proprietà > Eventi > Aggiungi notifica.
  3. Verificare che non siano già presenti notifiche impostate sugli eventi di creazione di CloudTrail.
  4. Immettere il nome che si desidera attribuire all’app.
  5. Selezionare All object create events (Tutti gli oggetti creano eventi).
  6. Immettere: json.gz come valore del Suffisso.
  7. Per creare il valore del Prefisso, immettere il prefisso del bucket copiato in precedenza, quindi /AWSLogs/, l’ID account e infine /CloudTrail/.

    Il formato deve essere: <Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/

    Se si utilizza un CloudTrail gestito da AWS Organizations o si esportano CloudTrail da più account in un unico account, occorre creare un evento separato per ciascun ID account.

  8. Impostare Invia a su SNS e utilizzare il nome dell’argomento SNS creato in precedenza.

    Il seguente screenshot mostra le impostazioni del menu Eventi.

    Screenshot che mostra le impostazioni del menu Eventi

  9. Cliccare su Salva.

    Ora nelle proprietà del bucket S3 vengono visualizzate notifiche di operazione riuscita.

Aprire Sophos Central e continuare con l’integrazione di AWS CloudTrail.