整合 AWS CloudTrail 與 Google SecOps
本文說明如何將 AWS CloudTrail 與 Google Security Operations (Google SecOps) 整合。
整合版本:5.0
必要條件
這項整合功能需要設定唯讀存取政策。如要進一步瞭解這項政策,請參閱 AWS 說明文件網站上的「授予 CloudTrail 使用者自訂權限」。
整合輸入內容
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
如要設定整合,請使用下列參數:
參數 | |
---|---|
AWS Access Key ID |
必填。 用於整合的 AWS 存取金鑰 ID。 |
AWS Secret Key |
必填。 用於整合的 AWS 私密金鑰。 |
AWS Default Region |
必填。 要在整合中使用的 AWS 預設區域,例如
|
動作
您可以透過應對手冊自動執行任何整合動作,也可以從案件檢視畫面手動執行。
乒乓
測試與 AWS CloudTrail 的連線。
實體
這項操作不會對實體執行。
動作輸入內容
不適用
動作輸出內容
動作輸出類型 | |
---|---|
案件總覽附件 | 不適用 |
案件總覽連結 | 不適用 |
案件訊息牆表格 | 不適用 |
補充資訊表格 | 不適用 |
JSON 結果 | 不適用 |
指令碼結果 | 可用 |
指令碼結果
指令碼結果名稱 | 值 |
---|---|
is_success | True/False |
案件總覽
這個動作會提供下列輸出訊息:
輸出訊息 | 訊息說明 |
---|---|
Successfully connected to the AWS CloudTrail server with the
provided connection parameters! |
動作成功。 |
Failed to connect to the AWS CloudTrail server! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
AWS CloudTrail - Insights 連接器
從 AWS CloudTrail 取得洞察資料。
連接器輸入內容
如要設定連接器,請使用下列參數:
參數 | |
---|---|
Product Field Name |
必填。 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 180 秒。 |
AWS Access Key ID |
必填。 用於整合的 AWS 存取金鑰 ID。 |
AWS Secret Key |
必填。 用於整合的 AWS 私密金鑰。 |
AWS Default Region |
必填。 要在整合中使用的 AWS 預設區域,例如 |
Alert Severity |
必填。 根據深入分析建立的 Google SecOps 快訊嚴重程度。 可能的值包括:
Medium 。
|
Fetch Max Hours Backwards |
選填。 在第一次連接器疊代之前,擷取洞察資料的小時數。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 1 小時。 |
Max Insights To Fetch |
選填。 每個連接器疊代要處理的事件數量。 最大值為 50。 預設值為 50。 |
Use whitelist as a blacklist |
必填。 如果選取,動態清單會做為封鎖清單使用。 (預設為不勾選)。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 AWS CloudTrail 伺服器時驗證 SSL 憑證。 預設為未選取。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。