CloudTrail-Konfiguration | Trend Micro Service Central

Ansichten:

Konfigurieren Sie Ihre CloudTrail-Einstellungen, um eine bessere Sichtbarkeit für das XDR-Monitoring zu gewährleisten.

Hinweis

Die in diesen Anweisungen enthaltenen Schritte waren ab November 2023 gültig.

Wichtig

Das CloudTrail SNS-Thema muss sich im selben Konto und in derselben Region wie das CloudTrail befinden, das Sie überwachen möchten.

Prozedur

Melden Sie sich bei Ihrem AWS-Konto an und greifen Sie auf die CloudTrail-Konsole zu.

Wenn Sie einen neuen Pfad erstellen, klicken Sie auf Create a trail und führen Sie die folgenden Schritte aus.

Konfigurieren Sie die Trail-Attribute und klicken Sie auf Weiter.
Unter Ereignisse wählen Sie die folgenden Ereignistypen aus:
- Management-Ereignisse
- Datenereignisse
Konfigurieren Sie Management events.
- Wählen Sie Lesen.
- Wählen Sie Schreiben.
- Stellen Sie sicher, dass Exclude AWS KMS events und Exclude Amazon RDS Data API events nicht ausgewählt sind.
Setzen Sie unter Data events Data event type auf S3.
Für Log selector template wählen Sie Log all events.
Unter Additional settings sicherstellen, dass Log file validation aktiviert ist.

Aktivieren Sie SNS notification delivery und wählen Sie Neu.

Hinweis

Die Einrichtung der SNS-Benachrichtigungszustellung ist für Cloud-Erkennungen für AWS CloudTrail erforderlich. Sie müssen das SNS-Topic-ARN angeben, wenn Sie den Stack bereitstellen oder aktualisieren.

Klicken Sie auf Weiter.
Überprüfen Sie die Konfiguration, und klicken Sie auf Create trail.

Wenn Sie einen Pfad bearbeiten, klicken Sie im Navigationsbereich auf Trails und führen Sie die folgenden Schritte aus.

Klicken Sie auf den Namen des Pfads, den Sie bearbeiten möchten.
Klicken Sie in Management events auf Bearbeiten und konfigurieren Sie die Einstellungen.
- Wählen Sie Lesen.
- Wählen Sie Schreiben.
- Stellen Sie sicher, dass Exclude AWS KMS events und Exclude Amazon RDS Data API events nicht ausgewählt sind.
Klicken Sie auf Änderungen speichern.
Klicken Sie in Data events auf Bearbeiten und konfigurieren Sie die Einstellungen.
- Für Data event source wählen Sie S3.
- Für Log selector template wählen Sie Log all events.
Klicken Sie auf Änderungen speichern.
Klicken Sie in General details auf Bearbeiten.
Unter Additional settings sicherstellen, dass Log file validation aktiviert ist.

Aktivieren Sie SNS notification delivery.

Wählen Sie Neu, um ein neues SNS-Thema zu erstellen.
Wählen Sie Vorhandene, um ein vorhandenes SNS-Thema zu verwenden.

Hinweis

Klicken Sie auf Änderungen speichern.
Klicken Sie auf Update trail, um die Änderungen zu speichern.

Kopieren Sie die CloudTrail-ARN und die SNS-Topic-ARN.

Verwenden Sie einen der folgenden Schritte, um die CloudTrail-ARN und die SNS-Topic-ARN zu finden. Sie müssen diese Informationen angeben, wenn Sie einen Stack bereitstellen oder aktualisieren, um die Cloud-Erkennungen für die AWS CloudTrail-Funktion zu aktivieren.
- Suchen Sie die Informationen in der CloudTrail-Konsole:
  1. Klicken Sie im Navigationsbereich auf Trails und wählen Sie den CloudTrail aus, den Sie überwachen möchten.
  2. Die CloudTrail-ARN erscheint als Teil des Pfads: CloudTrail → Trails → arn:aws:....
    
    Kopieren Sie die vollständige ARN, beginnend mit arn:aws:... und einschließlich des Trail-Namens .../trail-name.
  3. Die SNS-Themen-ARN befindet sich unter SNS notification delivery im Abschnitt General details.
- Verwenden Sie die AWS-Befehlszeilenschnittstelle, um auf die Informationen zuzugreifen:
  1. Führen Sie den Befehl aws cloudtrail describe-trails aus.
  2. Suchen Sie den CloudTrail, den Sie überwachen möchten.
  3. Kopieren Sie die Daten aus den folgenden Feldern:
    - SnsTopicARN: Die SNS-Thema-ARN
    - TrailARN: Die CloudTrail-ARN
- Verwenden Sie das AWS SDK, um DescribeTrails aufzurufen:
  1. Führen Sie das AWS SDK aus.
  2. Suchen Sie den CloudTrail, den Sie überwachen möchten, in der Antwort.
  3. Kopieren Sie die Daten aus den folgenden Feldern:
    - SnsTopicARN: Die SNS-Thema-ARN
    - TrailARN: Die CloudTrail-ARN