Ansichten:

Fügen Sie Ihre Konten schnell zur Cloud-Konten-App hinzu, indem Sie Ihre AWS-Organisation verbinden.

Cloud-Konten unterstützen das Hinzufügen von Konten, die von Ihrer AWS-Organisation verwaltet werden, indem Funktionen auf der Root-Konto- oder Organisationseinheitsebene (OU) bereitgestellt werden. Das Hinzufügen Ihrer AWS-Organisation zu Cloud-Konten bietet eine schnelle Möglichkeit, Trend Vision One Zugriff auf Ihre verwalteten Cloud-Konten zu gewähren, um Sicherheit und Transparenz in Ihre Cloud-Assets zu bieten. Einige Cloud-Konten-Funktionen haben eingeschränkte Unterstützung für AWS-Regionen. Weitere Informationen finden Sie unter Von AWS unterstützte Regionen und Einschränkungen.
Zugehörige Informationen

AWS-Organisationsvoraussetzungen und Bereitstellungsdetails Übergeordnetes Thema

Bevor Sie eine AWS-Organisation mit Trend Vision One verbinden, überprüfen Sie die Anforderungen vor der Bereitstellung, um eine erfolgreiche Verbindung sicherzustellen.

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf eine Anmelde- oder Benutzerrolle mit Administratorrechten haben, einschließlich Berechtigungen zum Erstellen und Verwalten von AWS CloudFormation Stack-Sets für die AWS-Organisation, die Sie verbinden möchten. Weitere Informationen finden Sie unter AWS CloudFormation StackSets und AWS-Organisationen.
Beachten Sie vor Beginn folgende Hinweise:
  • Die Cloud-Konten-App unterstützt derzeit nur die Verbindung von AWS-Organisationen mithilfe der CloudFormation-Stack-Vorlage.
  • Sie müssen Zugriff auf eine Anmelde- oder Benutzerrolle mit Administratorrechten haben, einschließlich Berechtigungen zum Erstellen und Verwalten von AWS CloudFormation StackSets für die AWS-Organisation, die Sie verbinden möchten. Weitere Informationen finden Sie unter AWS CloudFormation StackSets und AWS-Organisationen.
  • Das Hinzufügen einer AWS-Organisation zwingt die von dieser Organisation verwalteten Konten, die für die gesamte Organisation konfigurierten Einstellungen anzuwenden. Einstellungen können nicht für einzelne Konten geändert werden, die als Teil einer Organisation hinzugefügt wurden.
    Um unterschiedliche Konfigurationen auf einzelne Konten anzuwenden, die von einer AWS-Organisation verwaltet werden, müssen Sie diese Konten separat hinzufügen. Fügen Sie entweder die Konten hinzu, bevor Sie Ihre AWS-Organisation hinzufügen, oder verwenden Sie den OrganizationExcludedAccounts-Parameter, um diese Konten von der Stack-Bereitstellung auszuschließen.
  • Aufgrund von Einschränkungen von AWS stellt StackSets keine Ressourcen in Ihrem Verwaltungskonto bereit. Um Ihr Verwaltungskonto hinzuzufügen, siehe Verbinden Sie ein AWS-Konto mit CloudFormation.
    Weitere Informationen finden Sie unter Warum ist mein Verwaltungskonto nach dem Verbinden meiner AWS-Organisation nicht sichtbar?.
Trend Vision One verwendet die folgende Regelstruktur, um die Namen der AWS-Konten zu füllen, die als Teil einer AWS-Organisation hinzugefügt wurden:
  1. AWS account alias: Wenn das AWS-Konto einen AWS-Kontoalias hat, wird dieser als Kontoname in der Cloud-Konten-App verwendet. Ein Kontoalias ist ein Name, der einem AWS-Konto zugewiesen wird, anstatt die 12-stellige Kontonummer zu verwenden.
  2. Organization AWS account name: Wenn das Konto keinen Kontonamenalias hat, wird der AWS-Kontoname verwendet. Trend Vision One führt eine Abfrage in der Organisations-Genealogiedatenbank durch, um den Kontonamen aus der AWS-Organisationshierarchie abzurufen.
    Hinweis
    Hinweis
    AWS-Kontoaliasnamen unterscheiden sich in zwei wesentlichen Punkten von AWS-Kontonamen:
    • Aliasse sind optional, während Kontonamen erforderlich sind
    • Kontonamen werden innerhalb von AWS Organizations für die Organisationsstruktur verwendet, während Aliase ein individuelles AWS-Konto unabhängig von seiner Organisation eindeutig identifizieren.
  3. User-provided account name: Wenn das Konto keinen Kontonamenalias hat und kein Organisationskontoname gefunden wird, versucht Trend Vision One erneut die Organisationssuche und versucht, das Fallback-Format {user-input}-{aws-account-id} zu erkennen, bei dem der Benutzer, der das Konto erstellt hat, einen Kontonamen angegeben hat, der die AWS-Konto-ID enthält.

Überprüfen Sie die Namenslogik, wie Trend Vision One AWS-Kontonamen generiert, die als Teil einer AWS-Organisation verbunden wurden.

Trend Vision One verwendet die folgende Logik, um die Namen der AWS-Organisationskonten zu füllen:
  1. AWS account alias: Wenn das AWS-Konto einen AWS-Kontoalias hat, wird dieser als Kontoname in der Cloud-Konten-App verwendet. Ein Kontoalias ist ein Name, der einem AWS-Konto zugewiesen wird, anstatt die 12-stellige Kontonummer zu verwenden.
  2. Organization AWS account name: Wenn das Konto keinen Kontonamenalias hat, wird der AWS-Kontoname verwendet. Trend Vision One führt eine Abfrage der Organisationsgenealogiedatenbank durch, um den Kontonamen aus der AWS-Organisationshierarchie abzurufen.
    Hinweis
    Hinweis
    AWS-Kontoaliasnamen unterscheiden sich in zwei wesentlichen Punkten von AWS-Kontonamen:
    • AWS-Kontonamen sind erforderlich, während Konten-Aliasse optional sind.
    • AWS-Kontonamen werden innerhalb von AWS-Organisationen für die Organisationsstruktur verwendet, während Aliase ein einzelnes AWS-Konto unabhängig von seiner Organisation eindeutig identifizieren.
  3. User-provided account name: Wenn das Konto keinen Alias hat und kein AWS-Kontoname gefunden wird, versucht Trend Vision One erneut die Organisationssuche und versucht, das Fallback-Format {user-input}-{aws-account-id} zu erkennen, bei dem der Benutzer, der das Konto erstellt hat, einen Kontonamen angegeben hat, der die AWS-Konto-ID enthält.

Verbinden Sie eine AWS-Organisation Übergeordnetes Thema

Führen Sie die Schritte aus, um eine AWS-Organisation mit Trend Vision One zu verbinden.
Hinweis
Hinweis
Die Schritte sind gültig für die AWS-Konsole ab November 2023.

Prozedur

  1. Melden Sie sich bei der Trend Vision One-Konsole an.
  2. Melden Sie sich in einem separaten Browser-Tab bei Ihrem AWS-Organisationskonto an.
  3. Navigieren Sie in der Trend Vision One Konsole zu Cloud SecurityCloud AccountsAWS.
  4. Klicken Sie auf Konto hinzufügen.
    Das Fenster Add AWS Account wird angezeigt.
  5. Geben Sie den Bereitstellungstyp an.
    1. Für Deployment Method wählen Sie CloudFormation.
    2. Wählen Sie den Kontotyp aus:
      • Single AWS Account
    3. Klicken Sie auf Weiter.
  6. Geben Sie allgemeine Informationen für die Organisation an:
    1. Geben Sie ein Account name und ein Beschreibung an, um in Cloud-Konten anzuzeigen.
      Sobald die AWS-Organisation hinzugefügt wurde, erhalten alle Mitgliedskonten ohne zuvor festgelegten Alias in AWS einen automatisch generierten Namen in der Cloud-Konten-App.
    2. Wählen Sie die AWS-Region für die Bereitstellung der CloudFormation-Vorlage aus.
      Hinweis
      Hinweis
      Die Standardregion ist Ihre Trend Vision One-Region.
      Einige Funktionen und Berechtigungen werden in bestimmten AWS-Regionen nur eingeschränkt unterstützt. Weitere Informationen finden Sie unter Von AWS unterstützte Regionen und Einschränkungen.
    3. Wenn Sie mehr als eine Server- und Workload Protection-Manager-Instanz haben, wählen Sie die Instanz aus, die mit dem verbundenen Konto verknüpft werden soll.
      Hinweis
      Hinweis
      • Wenn Sie eine Server- und Workload Protection Manager-Instanz haben, wird das Konto automatisch mit dieser Instanz verknüpft.
    4. Um benutzerdefinierte Tags zu den von Trend Vision One bereitgestellten Ressourcen hinzuzufügen, wählen Sie Resource tagging und geben Sie die Schlüssel-Wert-Paare an.
      Zum Hinzufügen von bis zu drei Tags klicken Sie auf Create a new tag.
      Hinweis
      Hinweis
      • Schlüssel können bis zu 128 Zeichen lang sein und dürfen nicht mit aws beginnen.
      • Werte können bis zu 256 Zeichen lang sein.
    5. Klicken Sie auf Weiter.
  7. Konfigurieren Sie das Features and Permissions, dem Sie Zugriff auf Ihre Cloud-Umgebung gewähren möchten.
    Wichtig
    Wichtig
    • Agentlose Sicherheitslücken- und Bedrohungserkennung ist eine Vorabversion und gehört nicht zu den bestehenden Funktionen einer offiziellen kommerziellen oder allgemeinen Veröffentlichung. Bitte überprüfen Sie Haftungsausschluss für Vorabversion, bevor Sie die Funktion verwenden.
    • Wenn Sie Cloud Detections for Amazon Security Lake zur Überwachung Ihrer Organisation verwenden möchten, müssen Sie ein Konto innerhalb Ihrer Organisation konfigurieren, um Protokolle von anderen verwalteten Konten zu sammeln. Verbinden Sie Ihr Security Lake-Konto mit Trend Vision One, bevor Sie Ihr Organisationskonto verbinden.
    • Cloud Response for AWS erfordert, dass Sie die Überwachung von Cloud Detections for AWS CloudTrail für Ihr AWS-Konto aktivieren, was Sie folgendermaßen tun können:
      • Einzelnes AWS-Konto: Aktivieren Sie Cloud Detections for AWS CloudTrail für das AWS-Konto.
      • AWS-Organisation: Aktivieren Sie Cloud Detections for AWS CloudTrail und wählen Sie das Kontrollkästchen AWS Control Tower deployment aus, oder aktivieren Sie Cloud Detections for Amazon Security Lake mit aktivierter CloudTrail-Protokollüberwachung.
    • Ab November 2023 erlauben AWS-Privat- und Freemium-Konten bis zu 10 Lambda-Ausführungen. Der Einsatz von Container Protection erfordert mindestens 20 gleichzeitige Lambda-Ausführungen. Bitte überprüfen Sie den Status Ihres AWS-Kontos, bevor Sie diese Funktion aktivieren.
    • Nur die hier aufgeführten Funktionen und Berechtigungen unterstützen die Bereitstellung auf von der Organisation verwalteten Konten. Wenn Sie zusätzliche Funktionen und Berechtigungen auf einem Konto aktivieren möchten, müssen Sie das Konto einzeln verbinden, bevor Sie das Organisationskonto verbinden.
    • Core Features and Cyber Risk Exposure Management: Verbinden Sie Ihr AWS-Konto mit Trend Vision One, um Ihre Cloud-Assets zu entdecken und Risiken wie Verstöße gegen Compliance und Sicherheitsbestimmungen in Ihrer Cloud-Infrastruktur schnell zu identifizieren.
    • Agentless Vulnerability & Threat Detection: Implementieren Sie agentenlose Sicherheitslücken- und Bedrohungserkennung in Ihrem Cloud-Konto, um Schwachstellen und Malware in unterstützten Cloud-Ressourcen zu durchsuchen, ohne Ihre Anwendungen zu beeinträchtigen.
      Klicken Sie auf Scanner Configuration, um die Ressourcentypen auszuwählen, die durchsucht werden sollen, und ob nach Schwachstellen, Malware oder beidem gesucht werden soll.
    • Container Protection for Amazon ECS: Implementieren Sie Trend Vision One Container Security in Ihrem AWS-Konto, um Ihre Container und Container-Images in Elastic Container Service (ECS)-Umgebungen zu schützen. Trend Vision One Container Security deckt Bedrohungen und Schwachstellen auf, schützt Ihre Laufzeitumgebung und erzwingt Bereitstellungsrichtlinien.
    • Cloud Response for AWS: Erlauben Sie Trend Vision One die Berechtigung, Reaktionsmaßnahmen zu ergreifen, um Vorfälle in Ihrem Cloud-Konto einzudämmen, wie z. B. den Zugriff für verdächtige IAM-Benutzer zu widerrufen. Zusätzliche Reaktionsmaßnahmen nutzen die Integration mit Ticketingsystemen von Drittanbietern.
    • Real-Time Posture Monitoring: Implementieren Sie die Echtzeit-Haltungsüberwachung in Ihrem AWS-Konto, um eine Live-Überwachung mit sofortigen Warnungen für Aktivitäten und Ereignisse in Ihrer Cloud-Umgebung bereitzustellen.
    • Cloud Detections for AWS VPC Flow Logs: Bereitstellen, um Ihre Virtual Private Cloud (VPC)-Flussprotokolle zu sammeln, damit Trend Vision One Einblicke in Ihren VPC-Datenverkehr gewinnen kann, mit Erkennungsmodellen zur Identifizierung und Bereitstellung von Warnungen bei bösartigem IP-Datenverkehr, SSH-Brute-Force-Angriffen, Datenexfiltration und mehr. Überprüfen Sie Cloud-Erkennungen für AWS VPC Flow Logs Empfehlungen und Anforderungen, bevor Sie die Funktion aktivieren.
      Wählen Sie die AWS-Regionen aus, in die Sie die Funktion bereitstellen möchten.
      Wichtig
      Wichtig
      XDR für die Cloud unterstützt nur die Überwachung von VPC Flow Logs Version 5 oder höher. Für weitere Informationen siehe Cloud-Erkennungen für AWS VPC Flow Logs Empfehlungen und Anforderungen.
  8. Klicken Sie auf Weiter.
  9. Starten Sie die CloudFormation-Vorlage in der AWS-Konsole.
    1. Um die Stapelvorlage vor dem Start zu überprüfen, klicken Sie auf Download and Review Template.
    2. Klicken Sie auf Launch Stack.
      Die AWS-Managementkonsole öffnet sich in einem neuen Tab und zeigt den Bildschirm Quick Create Stack an.
  10. Im AWS-Managementkonsole führen Sie die Schritte auf dem Bildschirm Quick Create Stack aus.
    1. Wenn Sie einen anderen Namen als den Standardnamen verwenden möchten, geben Sie einen neuen Stack name an.
    2. Im Abschnitt Parameter geben Sie die folgenden Parameter an: AWS Root ID oder das Organizational Unit (OU) ID im Feld OrganizationID.
      • OrganizationID: Geben Sie den AWS Root ID oder den Organizational Unit (OU) ID des Organisationskontos ein.
        Um mehrere Organisationseinheiten hinzuzufügen, geben Sie die Organisations-Einheit (OU)-ID jeder Organisationseinheit ein, die Sie hinzufügen möchten. Trend Vision One wird das Stackset in jede Organisationseinheit und die zugehörigen untergeordneten Konten bereitstellen.
      • (Optional) OrganizationExcludedAccounts: Geben Sie die Kontonummern eines beliebigen AWS-Kontos innerhalb der Organisation ein, das Sie von den Überwachungsfunktionen innerhalb des Stacks ausschließen möchten.
        Verwenden Sie dieses Parameterfeld, um Konten auszuschließen, die Sie nicht überwachen möchten, oder für Konten, für die Sie eine andere Funktionskonfiguration verwenden möchten. Sie können ausgeschlossene Konten einzeln mit der Cloud-Konten-App verbinden. Geben Sie Konten als Liste ein, getrennt durch ein Komma (,) ohne Leerzeichen. Zum Beispiel, 123456789012,345678901234
      Wichtig
      Wichtig
      Der OrganizationExcludedAccounts-Parameter darf nur Konten-IDs innerhalb der Organisation enthalten. Das Hinzufügen einer Konten-ID für ein Konto, das nicht von der Organisation verwaltet wird, kann dazu führen, dass die Stapelbereitstellung fehlschlägt.
      Ändern Sie keine anderen Einstellungen im Abschnitt Parameter. CloudFormation stellt die Einstellungen für die Parameter automatisch bereit. Das Ändern von Parametern kann dazu führen, dass die Stapelerstellung fehlschlägt.
    3. Wählen Sie im Abschnitt Capabilities die folgenden Bestätigungen aus:
      • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
      • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
    4. Klicken Sie auf Create Stack.
      Der Bildschirm Stack details für den neuen Stack erscheint mit dem Tab Ereignisse angezeigt. Die Erstellung kann einige Minuten dauern. Klicken Sie auf Aktualisieren, um den Fortschritt zu überprüfen.
  11. Klicken Sie in der Trend Vision One Konsole auf Fertig.
    Die Organisation und die zugehörigen Mitgliedskonten erscheinen in Cloud-Konten, sobald die Bereitstellung der CloudFormation-Vorlage erfolgreich abgeschlossen ist. Aktualisieren Sie den Bildschirm, um die Tabelle zu aktualisieren.