ビュー:

XDR監視の可視性を高めるようにCloudTrailを設定します。

注意
注意
これらの手順に含まれる手順は、2023年11月現在のものです。
重要
重要
CloudTrail SNSトピックは、監視するCloudTrailと同じアカウントおよび同じリージョンに存在する必要があります。

手順

  1. AWSアカウントにサインインして、CloudTrailコンソールにアクセスします。
  2. 新しい証跡を作成する場合は、 [証跡を作成する] をクリックして、次の手順を実行します。
    1. [証跡属性] を設定し、 [次へ]をクリックします。
    2. [イベント] で、次のイベントの種類を選択します。
      • 管理イベント
      • データイベント
    3. [管理イベント]を設定します。
      • [読み取り]を選択します。
      • [書き込み]を選択します。
      • [AWS KMSイベントの除外][Amazon RDS Data APIイベントの除外] が選択されていないことを確認します。
    4. [データイベント]で、 [データイベントの種類][S3]に設定します。
    5. [ログセレクタテンプレート]で、 [すべてのイベントをログに記録する]を選択します。
    6. [追加設定]で、 [ログファイルの検証] が有効になっていることを確認します。
    7. [SNS通知配信]を有効にして、 [新規]を選択します。
      注意
      注意
      AWS CloudTrailのクラウド検出では、SNS通知配信を設定する必要があります。スタックをデプロイまたはアップデートするときに、SNSトピックのARNを指定する必要があります。
    8. [Next] をクリックします。
    9. 設定を確認し、 [Create trail]をクリックします。
  3. 証跡を編集する場合は、ナビゲーションペインで [証跡] をクリックし、次の手順を実行します。
    1. 編集する証跡の名前をクリックします。
    2. [管理イベント]で、 [編集] をクリックして設定を行います。
      • [読み取り]を選択します。
      • [書き込み]を選択します。
      • [AWS KMSイベントの除外][Amazon RDS Data APIイベントの除外] が選択されていないことを確認します。
    3. [変更の保存]をクリックします。
    4. [データイベント]で、 [編集] をクリックして設定を行います。
      • [データイベントソース]で、 [S3]を選択します。
      • [ログセレクタテンプレート]で、 [すべてのイベントをログに記録する]を選択します。
    5. [変更の保存]をクリックします。
    6. [一般詳細]で、 [編集]をクリックします。
    7. [追加設定]で、 [ログファイルの検証] が有効になっていることを確認します。
    8. [SNS通知配信]を有効にします。
      • 新しいSNSトピックを作成するには、 [新規] を選択します。
      • 既存のSNSトピックを使用するには、 [既存] を選択します。
      注意
      注意
      AWS CloudTrailのクラウド検出では、SNS通知配信を設定する必要があります。スタックをデプロイまたはアップデートするときに、SNSトピックのARNを指定する必要があります。
    9. [変更の保存]をクリックします。
    10. [証跡の更新] をクリックして変更を保存します。
  4. CloudTrail ARNとSNSトピックのARNをコピーします。
    次のいずれかの手順を使用して、CloudTrail ARNとSNSトピックARNを検索します。 AWS CloudTrailのクラウド検出機能を有効にするには、スタックをデプロイまたはアップデートするときに、この情報を指定する必要があります。
    • CloudTrailコンソールで情報を見つけます。
      1. ナビゲーションペインで [Trails] をクリックし、監視するCloudTrailを選択します。
      2. CloudTrail ARNは、ロケーションパスの一部として表示されます。[CloudTrail][Trails][arn:aws:...]
        で始まる完全なARNをコピーします。 arn:aws:...トレイル名を含む.../トレイル名
      3. SNSトピックのARNは、 [General details] セクションの [SNS notification delivery] にあります。
    • AWS Command Line Interfaceを使用して、次の情報にアクセスします。
      1. コマンドを実行します。 aws cloudtrail describe-trails
      2. 監視するCloudTrailを見つけます。
      3. 次のフィールドからデータをコピーします。
        • SnsTopicARN : SNSトピックのARN
        • TrailARN : CloudTrail ARN
    • AWS SDKを使用してDescribeTrailsを呼び出します。
      1. AWS SDKを実行します。
      2. 対応で監視するCloudTrailを見つけます。
      3. 次のフィールドからデータをコピーします。
        • SnsTopicARN : SNSトピックのARN
        • TrailARN : CloudTrail ARN