既存の AWS CloudTrail の統合
この機能を使用するには、「Public Cloud」統合ライセンスパックが必要です。
既存の AWS CloudTrail を Sophos Central と統合する場合は、まず AWS CloudTrail を設定する必要があります。
トレイルを確認して構成するには、次の手順を実行します。
トレイルを見直す
-
AWS で、CloudTrail ダッシュボードに移動し、エクスポートバケット名をコピーします。
これは SNS トピックの設定に使用され、後で Sophos Central で使用します。
-
後で使用するよう、S3 バケットのプレフィックスをコピーすることもできます。バケットのプレフィックスはオプションです。
S3 バケットプレフィックスの詳細については、Amazon のヘルプで新しいバケットを作成する手順を参照してください。『 トレイルの作成』を参照してください。
次のスクリーンショットは、バケット名とバケットプレフィックスを選択する方法を示しています。
SNS トピックとアクセスポリシーの設定
- AWSでは、S3 バケットを使用して CloudTrail をエクスポートしたり、既存の SNS トピックを編集したりするのと同じ場所に SNS トピックを作成します。
- この SNS トピックの名前をコピーします。
-
JSON エディタで、次のようにアクセスポリシーを指定します。
-
SNS トピックを保存します。
S3 バケット通知を設定する
- AWS で S3 バケットに移動します。
- 新しい通知イベントを設定するには、「プロパティ」 > 「イベント」 > 「通知の追加」を選択します。
- CloudTrail の作成イベントに既存の通知が設定されていないことを確認します。
- 通知イベントの名前を入力します。
- 「すべてのオブジェクトでのイベントの作成」を選択します。
- 次を入力します。サフィックス値として、
json.gz
を指定します。 -
プレフィックス値を作成するには、前の手順でコピーしたバケットプレフィックスを入力してから、
/AWSLogs/
、アカウント ID、/CloudTrail/
の順に入力します。形式は
<Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/
としてください。AWS 組織が管理している CloudTrail を使用している場合、または複数のアカウントから 1 つのアカウントに複数の CloudTrail をエクスポートしている場合は、アカウント ID ごとに個別のイベントを作成する必要があります。
-
送信先を
SNS
に設定し、前の手順で作成した SNS トピックの名前を使用します。次のスクリーンショットは、「イベント」メニューの設定を示しています。
-
「保存」をクリックします。
S3 バケットプロパティに成功通知が表示されるようになりました。
Sophos Central にアクセスして、AWS CloudTrail の統合を続行してください。