跳至內容
查找我們如何支持MDR

整合現有的 AWS CloudTrail

若要將現有的 AWS CloudTrail 與 Sophos Central 進行整合,您必須先進行設定。

若要檢查並設定您的追蹤,請執行以下動作。

檢閱您的追蹤

  1. 在 AWS 中,移至 CloudTrail 儀表板並複製匯出貯體名稱。

    這用於設定 SNS 主題,之後在 Sophos Central 中使用。

  2. 您也可以複製 S3 貯體首碼,以便稍後使用。貯體首碼為可選內容。

    有關 S3 貯體首碼的更多詳細資料,請參閱 Amazon 說明中建立新貯體的步驟。請參閱建立追蹤

    下列螢幕擷取畫面顯示了如何選取貯體名稱和貯體首碼。

    顯示用於複製貯體名稱和首碼的 CloudTrail 位置區段的螢幕擷取畫面

設定 SNS 主題和存取原則

  1. 在 AWS 中,在使用 S3 貯體匯出 CloudTrail 的同一區域建立一個 SNS 主題,或者編輯現有 SNS 主題。
  2. 複製此 SNS 主題的名稱。
  3. 在 JSON 編輯器中,按如下所示指定存取原則:

    1. Resource 值取代為您正在使用的 SNS ARN。
    2. Condition 中的貯體名稱取代為您先前複製的 CloudTrail 貯體名稱。

      下列螢幕擷取畫面顯示了含有要自訂線條的 SNS 主題 JSON 編輯器。

      顯示含有要自訂線條的 SNS 主題 JSON 編輯器的螢幕擷取畫面

      在 AWS 中,可以選擇是否顯示存取原則,但在 Sophos Central 中不可選擇。設定 S3 貯體通知必須要顯示此內容。

  4. 儲存 SNS 主題。

設定 S3 貯體通知

  1. 在 AWS 中,移至 S3 貯體。
  2. 要設定新的通知事件,請選取屬性 > 事件 > 新增通知
  3. 檢查並確保您沒有在 CloudTrail 建立事件上設定任何現有通知。
  4. 輸入通知事件的名稱。
  5. 選取所有物件建立事件
  6. 輸入:json.gz 作為尾碼值
  7. 要建立首碼值,請依序輸入您先前複製的貯體首碼、/AWSLogs/、您的帳戶 ID、/CloudTrail/

    格式必須為:<Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/

    如果您使用的是 AWS Organizations 管理的 CloudTrail,或是將 CloudTrail 從多個帳戶匯出至單一帳戶,則您必須為每個帳戶 ID 建立單獨的事件。

  8. 傳送至設定為 SNS,並使用以前建立的 SNS 主題的名稱。

    下列螢幕擷取畫面顯示了「事件」功能表設定。

    顯示事件功能表設定的螢幕擷取畫面

  9. 按一下儲存

    現在,成功通知會在您的 S3 貯體屬性中顯示。

移至 Sophos Central 並繼續整合 AWS CloudTrail。