Ansichten:

Fügen Sie ein AWS-Audit-Konto hinzu und verbinden Sie es, wobei AWS CloudTrail und Control Tower so konfiguriert sind, dass Trend Vision One Sicherheit für Ihre AWS-Umgebung mit mehreren Konten bietet.

Wenn Sie ein Audit-Konto verwenden, um Protokolle von Ihrem AWS Log Archive-Konto zu überwachen und zu sammeln, können Sie das Audit-Konto zur Cloud-Konten-App hinzufügen und die XDR für Cloud - AWS CloudTrail-Funktion aktivieren, um Trend Vision One den Zugriff auf Ihren Cloud-Dienst zu ermöglichen, um Sicherheit und Transparenz in Ihre Cloud-Ressourcen über mehrere Konten hinweg bereitzustellen. Einige Funktionen des Cloud-Kontos haben eingeschränkte Unterstützung für AWS-Regionen. Weitere Informationen finden Sie unter Von AWS unterstützte Regionen und Einschränkungen.
Die folgenden Schritte beschreiben, wie Sie einen S3-Bucket in Ihrem AWS-Audit-Konto einrichten, um replizierte Control Tower-Protokolle von Ihrem AWS-Protokollarchivkonto zu empfangen, und anschließend, wie Sie den Cloud Accounts-Stack in Ihrem AWS-Audit-Konto bereitstellen.
Wichtig
Wichtig
Die Cloud-Konten-App unterstützt derzeit nur die Verbindung von Audit-Konten mithilfe der CloudFormation-Stack-Vorlage.
Die Schritte sind gültig für die AWS-Konsole ab Juli 2024.
Sie müssen den Control Tower aktivieren und sicherstellen, dass Ihre AWS Log Archive- und AWS Audit-Konten eingerichtet sind, bevor Sie diese Schritte verwenden, um eine Verbindung zu Trend Vision One mit XDR für Cloud - AWS CloudTrail aktiviert herzustellen.

Prozedur

  1. Bevor Sie beginnen, melden Sie sich bei der Trend Vision One-Konsole, Ihrem AWS Log Archive-Konto und dem AWS Audit-Konto an.
    Tipp
    Tipp
    Für beste Ergebnisse melden Sie sich bei Trend Vision One und dem AWS-Audit-Konto in separaten Tabs derselben Browsersitzung an. Verwenden Sie einen anderen Browser, um auf das AWS-Log-Archivkonto zuzugreifen.
  2. Erstellen Sie im AWS-Audit-Konto einen S3-Bucket, um die replizierten Daten aus dem Control Tower im Log-Archiv-Konto zu sammeln.
    1. Navigieren Sie zu Amazon S3Buckets.
    2. Klicken Sie auf Create bucket.
      Das Fenster Create bucket wird angezeigt.
    3. Für Bucket type wählen Sie General purpose.
    4. Geben Sie einen eindeutigen Namen für den Bucket an.
      Wichtig
      Wichtig
      Verwenden Sie nicht das Präfix "aws-controltower", wenn Sie den S3-Bucket in Ihrem Audit-Konto benennen. Dies könnte Ihre Fähigkeit, den Bucket zu bearbeiten oder zu löschen, aufgrund von Einschränkungen durch AWS Control Tower deaktivieren.
    5. Wählen Sie unter Bucket Versioning die Option Aktivieren aus.
    6. Belassen Sie alle anderen Einstellungen auf den Standardwerten und klicken Sie auf Create bucket.
      Der S3-Bucket wurde erstellt. In den folgenden Schritten wird in diesem Thema der Begriff "Audit-Bucket" verwendet, um auf diesen S3-Bucket zu verweisen.
  3. Konfigurieren Sie eine Amazon EventBridge für den Audit-Bucket.
    1. Navigieren Sie zu Amazon S3Buckets.
    2. Suchen Sie den Audit-Bucket und klicken Sie auf den Bucket-Namen, um den Bucket details-Bildschirm zu öffnen.
    3. Navigieren Sie zu EigenschaftenAmazon EventBridge.
    4. Klicken Sie auf Bearbeiten.
    5. Für Send notifications to Amazon EventBridge for all events in this bucket wählen Sie Aktiviert.
    6. Klicken Sie auf Änderungen speichern.
  4. Erstellen Sie in Ihrem AWS Log Archive-Konto eine Replikationsregel für den Control Tower-Bucket.
    1. Melden Sie sich bei Ihrem AWS Log Archive-Konto an und gehen Sie zu Amazon S3Buckets.
    2. Suchen Sie den Control Tower-Bucket, den Sie überwachen möchten, und klicken Sie auf den Namen.
      Tipp
      Tipp
      Geben Sie das Präfix aws-cloudtrail ein, um die Liste zu filtern und den Bucket leichter zu finden.
    3. Gehen Sie im Fenster Bucket details zu ManagementReplication rules.
    4. Klicken Sie auf Create replication rule.
    5. Geben Sie einen Namen für diese Regel an.
    6. Stellen Sie sicher, dass der Status auf Aktiviert eingestellt ist.
    7. Wählen Sie im Abschnitt Source bucket den Regelumfang aus.
      • Wenn Sie nur ausgewählte Daten replizieren möchten, wählen Sie Limit the scope of this rule using one or more filters. Wenn Sie diese Option wählen, müssen Sie Filter für die replizierten Daten definieren.
      • Um alle Daten zu replizieren, wählen Sie Apply to all objects in the bucket. Trend Micro empfiehlt, diese Konfiguration zu verwenden, um die Sichtbarkeit in Ihrer Cloud-Umgebung zu maximieren.
    8. Wählen Sie im Abschnitt Ziel die Option Specify a bucket in another account aus.
    9. Für Account ID fügen Sie die Konto-ID für das AWS-Audit-Konto ein.
    10. Für Bucket name den Namen des Audit-Buckets einfügen.
    11. Wählen Sie Change object ownership to destination bucket owner.
    12. Unter IAM role sollte die Rolle automatisch ausgewählt werden.
      Wenn keine IAM-Rolle verfügbar ist, erstellen Sie eine neue IAM-Rolle.
    13. Klicken Sie auf die IAM-Rolle, um die Details der IAM-Rolle in einem neuen Tab zu öffnen.
    14. Gehen Sie zu Berechtigungen und klicken Sie auf Bearbeiten.
    15. Überprüfen Sie, ob die Berechtigungen den folgenden Code enthalten. Falls nicht, kopieren und fügen Sie Folgendes ein:
      {
			"Action": [
				"s3:ReplicateObject",
				"s3:ReplicateDelete",
				"s3:ReplicateTags",
				"s3:ObjectOwnerOverrideToBucketOwner"
			],
			"Effect": "Allow",
			"Resource": [
				"THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT/*",
				"THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
			]
		}
      Ersetzen Sie die folgenden Parameter im Resource-Attribut:
      • THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT: Die ARN des Control Tower-Buckets, den Sie replizieren möchten.
      • THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT: Die ARN des Audit-Buckets.
      Wichtig
      Wichtig
      Sie müssen /* am Ende beider ARN-Werte in Resource einfügen. Zum Beispiel, wenn Ihr Audit-Bucket-ARN aws:arn::12345:audit.bucket ist, ist der einzugebende Wert "aws:arn::12345:audit.bucket/*".
    16. Klicken Sie auf Weiter und dann auf Änderungen speichern.
    17. Gehen Sie zurück zum Tab, um die Replikationsregeln zu konfigurieren.
    18. Belassen Sie alle anderen Einstellungen auf den Standardwerten und klicken Sie auf Speichern.
    19. Wenn Sie dazu aufgefordert werden, wählen Sie aus, ob vorhandene Objekte repliziert werden sollen oder nicht, und klicken Sie auf Absenden.
  5. Konfigurieren Sie die Richtlinien für den Audit-Bucket.
    1. Gehen Sie im AWS-Audit-Konto zu Amazon S3Buckets.
    2. Suchen Sie den Audit-Bucket und klicken Sie auf den Namen, um den Bucket details-Bildschirm zu öffnen.
    3. Navigieren Sie zu BerechtigungenBucket policy.
    4. Klicken Sie auf Bearbeiten.
    5. Kopieren und fügen Sie die folgende Richtlinie ein.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AUDIT_BUCKET_NAME",
            "Effect": "Allow",
            "Principal": {
                "AWS": "ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete",
                "s3:ObjectOwnerOverrideToBucketOwner",
                "s3:ReplicateTags"
            ],
            "Resource": [
                "ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
            ]
        }
    ]
}
      Ersetzen Sie die folgenden Parameter:
      • AUDIT_BUCKET_NAME: Der Name des Audit-Buckets.
      • ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE: Die ARN der IAM-Rolle, die der von Ihnen erstellten Replikationsregel für den Control Tower-Bucket im AWS Log Archive-Konto zugewiesen ist.
      • ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT: Die ARN des Audit-Buckets. Sie müssen /* am Ende der ARN hinzufügen.
    6. Klicken Sie auf Änderungen speichern.
  6. Erstellen Sie ein Amazon SNS-Thema im AWS-Audit-Konto.
    1. Navigieren Sie zu Amazon SNSTopics.
    2. Klicken Sie auf Create topic.
    3. Wählen Sie Standard.
    4. Geben Sie einen Namen für das Thema ein.
    5. Belassen Sie die restlichen Einstellungen auf den Standardwerten und klicken Sie auf Create topic.
  7. Erstellen Sie eine EventBridge im AWS-Audit-Konto.
    1. Navigieren Sie zu Amazon EventBridgeBusesRegeln.
    2. Klicken Sie auf Create rule.
    3. Geben Sie den Namen für die Regel ein.
    4. Belassen Sie die restlichen Einstellungen auf den Standardwerten und klicken Sie auf Weiter.
    5. Wählen Sie unter Creation method die Option Use pattern form aus.
    6. Im Abschnitt Event pattern wählen Sie für Event source die Option AWS services aus.
    7. Für AWS service wählen Sie Simple Storage Service (S3).
    8. Für Ereignistyp wählen Sie Amazon S3 Event Notification.
    9. Für Event type specification 1 wählen Sie Specific event(s) und dann Object Created aus.
    10. Für Event type specification 2 wählen Sie Specify bucket(s) by name.
    11. Fügen Sie den Namen des Audit-Buckets in das Feld Specify bucket(s) by name ein.
    12. Klicken Sie auf Weiter.
    13. Für Target 1 wählen Sie AWS service als Zieltyp aus.
    14. Wählen Sie unter Select a target die Option SNS topic aus.
    15. Unter Topic wählen Sie das von Ihnen erstellte SNS-Thema aus.
    16. Klicken Sie auf Weiter und dann erneut auf Weiter.
    17. Klicken Sie auf dem Bildschirm Review and create auf Create rule.
  8. Navigieren Sie in der Trend Vision One Konsole zu Cloud SecurityCloud AccountsAWS.
  9. Klicken Sie auf Konto hinzufügen.
    Das Fenster Add AWS Account wird angezeigt.
  10. Geben Sie den Bereitstellungstyp an.
    1. Für Deployment Method wählen Sie CloudFormation.
    2. Für den Kontotyp wählen Sie Single AWS Account.
    3. Klicken Sie auf Weiter.
  11. Geben Sie die allgemeinen Informationen für das Konto an.
    1. Geben Sie Account name an, um in der Cloud-Konten-App anzuzeigen.
    2. Fügen Sie ein Beschreibung hinzu, um in Cloud-Konten anzuzeigen.
    3. Wählen Sie die AWS-Region für die Bereitstellung der CloudFormation-Vorlage aus.
      Hinweis
      Hinweis
      Die Standardregion ist Ihre Trend Vision One-Region.
      Einige Funktionen und Berechtigungen werden in bestimmten AWS-Regionen nur eingeschränkt unterstützt. Weitere Informationen finden Sie unter Von AWS unterstützte Regionen und Einschränkungen.
    4. Wenn Sie mehr als eine Server- und Workload Protection Manager-Instanz haben, wählen Sie die Instanz aus, die mit dem verbundenen Konto verknüpft werden soll.
      Hinweis
      Hinweis
      • Wenn Sie eine Server- und Workload Protection Manager-Instanz haben, wird das Konto automatisch mit dieser Instanz verknüpft.
    5. Um benutzerdefinierte Tags zu den von Trend Vision One bereitgestellten Ressourcen hinzuzufügen, wählen Sie Resource tagging und geben Sie die Schlüssel-Wert-Paare an.
      Klicken Sie auf Create a new tag, um bis zu drei Tags hinzuzufügen.
      Hinweis
      Hinweis
      • Schlüssel können bis zu 128 Zeichen lang sein und dürfen nicht mit aws beginnen.
      • Werte können bis zu 256 Zeichen lang sein.
    6. Klicken Sie auf Weiter.
  12. Konfigurieren Sie das Features and Permissions für Ihr Audit-Konto.
    1. Aktivieren Sie Cloud Detections for AWS CloudTrail.
    2. Erweitern Sie Cloud Detections for AWS CloudTrail und aktivieren Sie dann Control Tower deployment.
    3. Klicken Sie auf Weiter.
  13. Starten Sie die CloudFormation-Vorlage in der AWS-Konsole.
    1. Wenn Sie die Stapelvorlage vor dem Start überprüfen möchten, klicken Sie auf Download and Review Template.
    2. Klicken Sie auf Launch Stack.
    Ihr AWS-Audit-Konto öffnet sich im CloudFormation-Dienst auf dem Quick create stack-Bildschirm.
  14. Scrollen Sie zu Parameter und suchen Sie den Abschnitt mit der Bezeichnung These are the parameters required to enable service cloud audit log monitoring control tower.
    Geben Sie die Werte für die folgenden Parameter an:
    • CloudAuditLogMonitoringCloudTrailArn: Die ARN von aws-controltower-BaselineCloudTrail.
    • CloudAuditLogMonitoringCloudTrailS3Arn: Die ARN des Prüfungs-Buckets.
    • CloudAuditLogMonitoringCloudTrailSNSTopicArn: Die ARN des von Ihnen erstellten SNS-Themas in Ihrem AWS-Audit-Konto.
    Wichtig
    Wichtig
    • Der überwachte CloudTrail und CloudTrail SNS müssen sich im selben Konto und in derselben Region befinden, die Sie für die Vorlagenbereitstellung ausgewählt haben.
    • Ändern Sie keine anderen Einstellungen im Abschnitt Parameter. CloudFormation stellt die Einstellungen für die Parameter automatisch bereit. Das Ändern von Parametern kann dazu führen, dass die Stapelerstellung fehlschlägt.
  15. Wählen Sie im Abschnitt Capabilities die folgenden Bestätigungen aus:
    • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
    • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
  16. Klicken Sie auf Create Stack.
    Der Bildschirm Stack details für den neuen Stack erscheint mit dem Tab Ereignisse angezeigt. Die Erstellung kann einige Minuten dauern. Klicken Sie auf Aktualisieren, um den Fortschritt zu überprüfen.
  17. Klicken Sie in der Trend Vision One Konsole auf Fertig.
    Das Konto erscheint in Cloud-Konten, sobald die Bereitstellung der CloudFormation-Vorlage erfolgreich abgeschlossen ist. Aktualisieren Sie den Bildschirm, um die Tabelle zu aktualisieren.