跳至內容
查找我們如何支持MDR

AWS CloudTrail

API

將 AWS CloudTrail 記錄新增至 Sophos Data Lake。

操作前準備事項

在整合過程中,我們會為您提供可複製和執行的命令。您必須在已安裝 AWS CLI 的本機終端機或 AWS CloudShell 中執行這些命令。要瞭解如何設定 AWS CLI,請參見開始使用 AWS CLI

您必須以具有「管理員」角色的 IAM 使用者身分執行命令。如果您沒有此類帳戶的存取權限,您可以建立具有特定權限的自訂角色。您需要的權限位於自訂角色權限中。

設定 AWS CloudTrail 整合

若要整合 AWS 環境,請執行下列步驟:

  1. 在 Sophos Central 中,移至威脅分析中心,然後按一下整合
  2. 按一下 AWS CloudTrail

    如果您已設定與 AWS 環境的連線,您可以在這裡看到這些連線。

  3. 按一下新增整合整合步驟助理會引導您完成連線至 AWS 環境的程序。

  4. 第 1 步中,選擇您是否使用 AWS Organisations。
  5. 選擇是建立新資源還是使用現有資源。
  6. 在表單的剩餘部分填入您的 AWS 詳細資料。
  7. 按一下儲存並繼續
  8. 第 2 步中,複製 curl 命令。
  9. 移至已安裝 AWS CLI 的本機終端機,或移至 AWS CloudShell,然後執行 curl 命令。

    此命令會下載整合指令碼。

  10. 移至 Sophos Central。

  11. 第 3 步中,複製整合命令。
  12. 移至已安裝 AWS CLI 的本機終端機,或移至 AWS CloudShell,然後執行整合命令。

    指令碼會將 AWS CloudTrail 與 Sophos Central 整合。

  13. 移至 Sophos Central。

AWS 環境會出現在清單中。

管理 AWS CloudTrail 整合

您可以按一下 AWS 環境的名稱來編輯設定。

狀態將顯示與 AWS 環境整合的狀態。狀態可以為已暫停、已激活、已斷開或已刪除。

您可以按一下「更多」圖示,根據目前狀態選取動作。

AWS CloudTrail 整合設定功能表

若要刪除連線,請按一下刪除。助理會引導您完成使用 AWS CLI 命令刪除連線的程序。

Sophos 授權過期時,連線將暫停。續訂授權時,連線將自動變爲已激活

包括 AWS Organizations 帳戶

如果您使用 AWS Organizations,您可以選擇要包含在資料收集中的帳戶。

  1. 在 Sophos Central 中,移至威脅分析中心,然後按一下整合
  2. 按一下 AWS CloudTrail

    此時將顯示整合清單。

  3. 按一下您要變更的整合名稱。

    如果您有許多整合,請使用篩選器列出使用 AWS Organizations 的整合。

  4. 編輯詳細資料 > 帳戶中,可以新增一個逗號分隔的帳戶 ID 清單,以便收集資料。

  5. 按一下儲存

我們現在只會從清單中的 AWS 帳戶收集資料。

自訂角色權限

您可以以具有「管理員」角色的 IAM 使用者身分執行我們為您提供的 AWS 命令。

如果要改爲設定自訂角色,請使用以下權限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy",
                "iam:PassRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:CreateServiceLinkedRole",
                "iam:CreateInstanceProfile",
                "iam:TagRole",
                "tag:TagResources",
                "ec2:DescribeRegions",
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration",
                "s3:GetBucket*",
                "s3:PutBucketTagging",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketNotification",
                "s3:GetAccelerateConfiguration",
                "sns:GetTopicAttributes",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:Subscribe",
                "sns:AddPermission",
                "sns:RemovePermission",
                "sns:Unsubscribe",
                "sns:TagResource",
                "sns:SetTopicAttributes",
                "sns:ListTagsForResource",
                "sns:GetSubscriptionAttributes",
                "sts:GetCallerIdentity",
                "lambda:AddPermission",
                "lambda:CreateFunction",
                "lambda:GetFunction",
                "lambda:GetPolicy",
                "lambda:ListVersionsByFunction",
                "lambda:TagResource",
                "cloudtrail:CreateTrail",
                "cloudtrail:DescribeTrails",
                "cloudtrail:PutEventSelectors",
                "cloudtrail:StartLogging",
                "cloudtrail:UpdateTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:ListTags",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:AddTags",
                "cloudtrail:GetInsightSelectors",
                "logs:CreateLogGroup",
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:CreateLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:PutSubscriptionFilter",
                "logs:PutRetentionPolicy",
                "logs:ListTagsLogGroup"
            ],
            "Resource": "*"
        }
    ]
}