Integrar um AWS CloudTrail existente
Você deve ter o pacote de licença de integrações "Public Cloud" para usar esse recurso.
Se você quiser integrar um AWS CloudTrail existente ao Sophos Central, configure-o primeiro.
Para verificar e configurar sua trilha, siga este procedimento.
Revisar sua trilha
-
Na AWS, vá para o painel do CloudTrail e copie o nome do seu bucket de exportação.
Ele é usado para configurar o tópico SNS e é usado também no Sophos Central, posteriormente.
-
Você também pode copiar o prefixo do bucket S3 para usar posteriormente. Os prefixos do bucket são opcionais.
Para obter mais detalhes sobre os prefixos do bucket S3, consulte as etapas sobre a criação de um novo bucket na ajuda da Amazon. Consulte Criar uma trilha.
A captura de tela a seguir mostra como selecionar o nome do bucket e o prefixo do bucket.
Configurar o tópico SNS e a política de acesso
- Na AWS, crie um tópico SNS na mesma região em que seu bucket S3 é usado para exportar o CloudTrail, ou edite um tópico SNS existente.
- Copie o nome do tópico SNS.
-
No editor JSON, especifique a política de acesso da seguinte forma:
- Substitua o valor de
Resource
pelo SNS ARN que você está usando. -
Substitua o nome do bucket em
Condition
pelo nome do bucket do CloudTrail que você copiou anteriormente.A captura de tela a seguir mostra o editor JSON de um tópico SNS com as linhas a serem personalizadas.
Na AWS, a política de acesso é mostrada como opcional, mas ela não é opcional com o Sophos Central. Ela é necessária para configurar as notificações do bucket S3.
- Substitua o valor de
-
Salve o tópico SNS.
Configurar notificações do bucket S3
- Na AWS, vá para o seu bucket S3.
- Para configurar um novo evento de notificação, selecione Propriedades > Eventos > Adicionar notificação.
- Confirme que você não tem nenhuma notificação existente definida nos eventos Criar do CloudTrail.
- Insira um nome para o evento de notificação.
- Selecione All object create events.
- Insira:
json.gz
como o Valor do sufixo. -
Para criar o Valor do prefixo, insira o prefixo do bucket copiado anteriormente,
/AWSLogs/
, o ID da sua conta e/CloudTrail/
.O formato deve ser:
<Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/
Se você estiver usando um CloudTrail gerenciado por AWS Organizations ou estiver exportando o CloudTrails de várias contas para uma única conta, será necessário criar um evento separado para cada ID de conta.
-
Defina Enviar para como
SNS
e use o nome do tópico SNS que você criou anteriormente.A captura de tela a seguir mostra as configurações do menu Eventos.
-
Clique em Salvar.
As notificações de êxito agora aparecem nas propriedades do seu bucket S3.
Vá para o Sophos Central e continue com a integração do seu AWS CloudTrail.