AWS CloudTrail
要使用此功能,您必須擁有「公共雲端」整合授權套件。
您可以將 AWS CloudTrail 與 Sophos Central 整合,以便其將記錄傳送到 Sophos 進行分析。
操作前準備事項
在整合過程中,我們會為您提供可複製和執行的命令。您必須在已安裝 AWS CLI 的本機終端機或 AWS CloudShell 中執行這些命令。要瞭解如何設定 AWS CLI,請參見開始使用 AWS CLI。
您必須以具有「管理員」角色的 IAM 使用者身分執行命令。如果您沒有此類帳戶的存取權限,您可以建立具有特定權限的自訂角色。您需要的權限位於自訂角色權限中。
設定 AWS CloudTrail 整合
若要整合 AWS 環境,請執行下列步驟:
- 在 Sophos Central 中,移至威脅分析中心,然後按一下整合。
-
按一下 AWS CloudTrail。
如果您已設定與 AWS 環境的連線,您可以在這裡看到這些連線。
-
按一下新增。整合步驟助理會引導您完成連線至 AWS 環境的程序。
- 在第 1 步中,選擇您是否使用 AWS Organisations。
- 選擇是建立新資源還是使用現有資源。
- 在表單的剩餘部分填入您的 AWS 詳細資料。
- 按一下儲存並繼續。
- 在第 2 步中,複製
curl命令。 -
移至已安裝 AWS CLI 的本機終端機,或移至 AWS CloudShell,然後執行
curl命令。此命令會下載整合指令碼。
-
移至 Sophos Central。
- 在第 3 步中,複製整合命令。
-
移至已安裝 AWS CLI 的本機終端機,或移至 AWS CloudShell,然後執行整合命令。
指令碼會將 AWS CloudTrail 與 Sophos Central 整合。
-
移至 Sophos Central。
AWS 環境會出現在清單中。
管理 AWS CloudTrail 整合
您可以按一下 AWS 環境的名稱來編輯設定。
狀態將顯示與 AWS 環境整合的狀態。狀態可以為已暫停、已激活、已斷開或已刪除。
您可以按一下「更多」圖示,根據目前狀態選取動作。
若要刪除連線,請按一下刪除。助理會引導您完成使用 AWS CLI 命令刪除連線的程序。
Sophos 授權過期時,連線將暫停。續訂授權時,連線將自動變爲已激活。
包括 AWS Organizations 帳戶
如果您使用 AWS Organizations,您可以選擇要包含在資料收集中的帳戶。
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下 AWS CloudTrail。
此時將顯示整合清單。
-
按一下您要變更的整合名稱。
如果您有許多整合,請使用篩選器列出使用 AWS Organizations 的整合。
-
在編輯詳細資料 > 帳戶中,可以新增一個逗號分隔的帳戶 ID 清單,以便收集資料。
- 按一下儲存。
我們現在只會從清單中的 AWS 帳戶收集資料。
自訂角色權限
您可以以具有「管理員」角色的 IAM 使用者身分執行我們為您提供的 AWS 命令。
如果要改爲設定自訂角色,請使用以下權限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:PassRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:CreateServiceLinkedRole",
"iam:CreateInstanceProfile",
"iam:TagRole",
"tag:TagResources",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration",
"s3:GetBucket*",
"s3:PutBucketTagging",
"s3:PutLifecycleConfiguration",
"s3:PutBucketNotification",
"s3:GetAccelerateConfiguration",
"sns:GetTopicAttributes",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:Subscribe",
"sns:AddPermission",
"sns:RemovePermission",
"sns:Unsubscribe",
"sns:TagResource",
"sns:SetTopicAttributes",
"sns:ListTagsForResource",
"sns:GetSubscriptionAttributes",
"sts:GetCallerIdentity",
"lambda:AddPermission",
"lambda:CreateFunction",
"lambda:GetFunction",
"lambda:GetPolicy",
"lambda:ListVersionsByFunction",
"lambda:TagResource",
"cloudtrail:CreateTrail",
"cloudtrail:DescribeTrails",
"cloudtrail:PutEventSelectors",
"cloudtrail:StartLogging",
"cloudtrail:UpdateTrail",
"cloudtrail:GetTrailStatus",
"cloudtrail:ListTags",
"cloudtrail:GetEventSelectors",
"cloudtrail:AddTags",
"cloudtrail:GetInsightSelectors",
"logs:CreateLogGroup",
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:CreateLogDelivery",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:PutSubscriptionFilter",
"logs:PutRetentionPolicy",
"logs:ListTagsLogGroup"
],
"Resource": "*"
}
]
}