跳至內容
查找我們如何支持MDR

AWS CloudTrail 整合指令碼

若要將 AWS CloudTrail 記錄與 Sophos Central 整合,請下載自訂指令碼,並使用 AWS CLI 或 AWS CloudShell 執行指令碼。

指令碼使用下列變數。

變數 說明
MANAGE_ACCOUNT_TOKEN 用於新增或刪除請求的存取權杖。 隨機為客戶生成。
SEND_DATA_TOKEN 用於傳送資料的存取權杖。 隨機為客戶生成。
EXTERNAL_ID Sophos AWS 帳戶與 Sophos 在客戶環境中建立的 SophosCloudtrailRole 角色之間信任關係的外部 ID。 隨機為客戶生成。
SETUP_TYPE 指定客戶是使用 AWS Organizations 還是使用普通帳戶。 ORGANIZATIONACCOUNT
CLOUDTRAIL_S3_RETENTION CloudTrail S3 貯體中的資料保留多久。 預設值為 365 天。
AWS_DEFAULT_REGION 建立和使用 AWS 資源的預設區域。 僅當您未選取區域時才使用變數。
BASE_URL 資料收集器的 URL。將來自客戶環境的資料推送到該位置。 https://http-collector.cloudstation.eu-west-1.dev.hydra.sophos.com
USE_EXISTING_TRAIL_SETUP 使用現有的追蹤貯體設定或建立新的追蹤貯體設定。 僅當選中選項時才使用變數。然後將其設定為 true
CLOUDTRAIL_BUCKET_NAME 如果使用現有設定,則為 S3 貯體的名稱。 僅在 USE_EXISTING_TRAIL_SETUP\=true 時使用變數。
CLOUDTRAIL_BUCKET_FOLDER 如果使用現有設定,則為 S3 貯體資料夾的名稱。 僅在 USE_EXISTING_TRAIL_SETUP\=true 時使用變數。
CLOUDTRAIL_SNS_TOPIC 如果使用現有設定,則為 SNS 主題的名稱。 僅在 USE_EXISTING_TRAIL_SETUP\=true 時使用變數。
TARGET_ACCOUNT 可讀取 CloudTrail S3 貯體之 Sophos 帳戶的帳戶 ID。用於設定信任關係。 Sophos 建立的值。