Script di integrazione di AWS CloudTrail
Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Cloud pubblico”.
Per integrare i log di AWS CloudTrail con Sophos Central, occorre scaricare uno script personalizzato ed eseguirlo con la CLI di AWS o AWS CloudShell.
Lo script utilizza le variabili indicate di seguito.
Variabile | Descrizione | Valore |
---|---|---|
MANAGE_ACCOUNT_TOKEN | Token di accesso utilizzato per aggiungere o eliminare richieste. | Generato in modo casuale per il cliente. |
SEND_DATA_TOKEN | Token di accesso utilizzato per inviare dati. | Generato in modo casuale per il cliente. |
EXTERNAL_ID | ID esterno per la relazione di trust (attendibilità) tra l’account Sophos AWS e il ruolo SophosCloudtrailRole creato da Sophos nell’ambiente del cliente. | Generato in modo casuale per il cliente. |
SETUP_TYPE | Specifica se il cliente utilizza AWS Organizations o un account ordinario. | ORGANIZATION oppure ACCOUNT |
CLOUDTRAIL_S3_RETENTION | Il periodo di conservazione dei dati nel bucket S3 di CloudTrail. | Il valore predefinito è 365 giorni. |
AWS_DEFAULT_REGION | Regione predefinita per la creazione e l’utilizzo delle risorse AWS. | Variabile utilizzata solo se non si seleziona una regione. |
BASE_URL | URL dell’appliance. I dati provenienti dall’ambiente del cliente vengono inviati qui. | https://http-collector.cloudstation.eu-west-1.dev.hydra.sophos.com . |
USE_EXISTING_TRAIL_SETUP | Utilizzare la configurazione esistente del trail del bucket, oppure crearne una nuova. | Variabile utilizzata solo se l’opzione è selezionata. Successivamente viene impostata su true . |
CLOUDTRAIL_BUCKET_NAME | Nome del bucket S3 se viene utilizzata una configurazione esistente. | Variabile utilizzata solo se USE_EXISTING_TRAIL_SETUP \=true . |
CLOUDTRAIL_BUCKET_FOLDER | Nome della cartella del bucket S3, se si utilizza una configurazione esistente. | Variabile utilizzata solo se USE_EXISTING_TRAIL_SETUP \=true . |
CLOUDTRAIL_SNS_TOPIC | Nome dell’argomento SNS, se viene utilizzata una configurazione esistente. | Variabile utilizzata solo se USE_EXISTING_TRAIL_SETUP \=true . |
TARGET_ACCOUNT | ID account dell’account Sophos che legge il bucket S3 di CloudTrail. Utilizzata per configurare la relazione di trust. | Valore creato da Sophos. |