Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integrar um AWS CloudTrail existente

Se você quiser integrar um AWS CloudTrail existente ao Sophos Central, configure-o primeiro.

Para verificar e configurar sua trilha, siga este procedimento.

Revisar sua trilha

  1. Na AWS, vá para o painel do CloudTrail e copie o nome do seu bucket de exportação.

    Ele é usado para configurar o tópico SNS e é usado também no Sophos Central, posteriormente.

  2. Você também pode copiar o prefixo do bucket S3 para usar posteriormente. Os prefixos do bucket são opcionais.

    Para obter mais detalhes sobre os prefixos do bucket S3, consulte as etapas sobre a criação de um novo bucket na ajuda da Amazon. Consulte Criar uma trilha.

    A captura de tela a seguir mostra como selecionar o nome do bucket e o prefixo do bucket.

    Captura de tela mostrando as seções da localização do CloudTrail a serem copiadas para o nome e o prefixo do bucket

Configurar o tópico SNS e a política de acesso

  1. Na AWS, crie um tópico SNS na mesma região em que seu bucket S3 é usado para exportar o CloudTrail, ou edite um tópico SNS existente.
  2. Copie o nome do tópico SNS.
  3. No editor JSON, especifique a política de acesso da seguinte forma:

    1. Substitua o valor de Resource pelo SNS ARN que você está usando.
    2. Substitua o nome do bucket em Condition pelo nome do bucket do CloudTrail que você copiou anteriormente.

      A captura de tela a seguir mostra o editor JSON de um tópico SNS com as linhas a serem personalizadas.

      Captura de tela mostrando o editor JSON do tópico SNS com linhas a serem personalizadas

      Na AWS, a política de acesso é mostrada como opcional, mas ela não é opcional com o Sophos Central. Ela é necessária para configurar as notificações do bucket S3.

  4. Salve o tópico SNS.

Configurar notificações do bucket S3

  1. Na AWS, vá para o seu bucket S3.
  2. Para configurar um novo evento de notificação, selecione Propriedades > Eventos > Adicionar notificação.
  3. Confirme que você não tem nenhuma notificação existente definida nos eventos Criar do CloudTrail.
  4. Insira um nome para o evento de notificação.
  5. Selecione All object create events.
  6. Insira: json.gz como o Valor do sufixo.
  7. Para criar o Valor do prefixo, insira o prefixo do bucket copiado anteriormente, /AWSLogs/, o ID da sua conta e /CloudTrail/.

    O formato deve ser: <Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/

    Se você estiver usando um CloudTrail gerenciado por AWS Organizations ou estiver exportando o CloudTrails de várias contas para uma única conta, será necessário criar um evento separado para cada ID de conta.

  8. Defina Enviar para como SNS e use o nome do tópico SNS que você criou anteriormente.

    A captura de tela a seguir mostra as configurações do menu Eventos.

    Captura de tela mostrando as configurações do menu Eventos

  9. Clique em Salvar.

    As notificações de êxito agora aparecem nas propriedades do seu bucket S3.

Vá para o Sophos Central e continue com a integração do seu AWS CloudTrail.