檢視次數:

將您的 AWS 日誌存檔帳戶與已配置 AWS CloudTrail 和 Control Tower 連接,以允許 Trend Vision One 為您的多帳戶 AWS 環境提供安全性。

將 AWS 日誌歸檔帳戶新增至雲端帳戶應用程式可讓 Trend Vision One 存取您的雲端服務,提供多個帳戶的雲端資產安全性和可見性。某些雲端帳戶功能對 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
重要
重要
雲端帳戶應用程式目前僅支援使用 CloudFormation 堆疊範本連接日誌歸檔帳戶。
這些步驟適用於截至2024年四月的AWS控制台。

步驟

  1. 登入Trend Vision One主控台。
  2. 在另一個瀏覽器標籤中,登入您的 AWS 日誌存檔帳戶。
  3. Trend Vision One 主控台中,依次選擇 服務管理Cloud AccountsAWS
  4. 點選Add Account
    Add AWS Account 視窗出現。
  5. 指定部署類型。
    1. 對於Deployment Method,選擇CloudFormation
    2. 對於帳戶類型,選擇Single AWS Account
    3. 點選下一步
  6. 指定帳戶的一般資訊。
    1. 指定要在雲端帳戶應用程式中顯示的帳號
    2. 新增Description以顯示在雲端帳戶中。
    3. 選擇 AWS 區域以部署 CloudFormation 範本。
      注意
      注意
      預設區域是根據您Trend Vision One的區域。
      某些功能和權限在某些 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
    4. 如果您有多個伺服器和工作負載保護管理器實例,請選擇要與連接的帳戶關聯的實例。
      注意
      注意
      • 如果您只有一個伺服器和工作負載保護管理器實例,該帳戶將自動與該實例關聯。
    5. 要將自訂標籤新增到 Trend Vision One 部署的資源,請選擇Resource tagging並指定鍵值對。
      點選Create a new tag以新增最多三個標籤。
      注意
      注意
      • 金鑰最多可以有 128 個字元,且不能以 aws 開頭。
      • 值最多可以包含 256 個字元。
    6. 點選下一步
  7. 為您的日誌帳戶配置Features and Permissions
    1. 啟用XDR for Cloud - AWS 雲端軌跡
    2. 展開XDR for Cloud - AWS 雲端軌跡,然後啟用Control Tower deployment
    3. 點選下一步
  8. 在 AWS 控制台中啟動 CloudFormation 模板。
    1. 如果您想在啟動前查看堆疊範本,請點選Download and Review Template
    2. 點選Launch Stack
    您的 AWS 日誌存檔帳戶會在Quick create stack畫面上開啟CloudFormation服務。
  9. 向下滾動到Parameters並找到標有These are the parameters required to enable service cloud audit log monitoring control tower的部分。
    重要
    重要
    • 監控的 CloudTrail 和 CloudTrail SNS 必須在相同帳戶上,並位於您選擇用於範本部署的相同區域。
    • 請勿更改Parameters部分中的任何其他設定。CloudFormation 會自動提供參數的設定。更改參數可能會導致堆疊建立失敗。
  10. 指定第一個參數 (CloudAuditLogMonitoringCloudTrailArn)。這是您想要監控的 CloudTrail 的 ARN。
    1. 開啟CloudTrail服務。
    2. Trails畫面上,找到以下軌跡:aws-controltower-BaselineCloudTrail
    3. 複製 ARN。
    4. 請記下「追蹤日誌位置」。您在下一步將需要此資訊。
    5. 在您的日誌存檔帳戶中,將 ARN 貼到CloudAuditLogMonitoringCloudTrailArn欄位。
  11. 指定第三個參數 (CloudAuditLogMonitoringCloudTrailS3Arn)。這是 CloudTrail S3 儲存桶的 ARN。
    1. 開啟S3 Bucket服務。
    2. General purpose buckets下,選擇aws-controltower-logs S3 儲存桶,其編號和區域需與前一步驟中的「追蹤日誌位置資訊」相符。
    3. 前往Properties標籤。
    4. 向下捲動到Amazon EventBridge部分,確保Send notifications to Amazon EventBridge for all events in this bucket已開啟。如果沒有,點選編輯來開啟該設定。
    5. 向上滾動到Bucket overview部分並複製存儲桶 ARN。
    6. CloudFormation畫面上,將 ARN 貼上到CloudAuditLogMonitoringCloudTrailS3Arn欄位。
  12. 建立一個 Amazon SNS 主題。
    1. 在您日誌存檔帳戶中,打開Simple Notification Service
    2. 前往Topics並點選Create topic
    3. 選擇Standard
    4. 請輸入主題名稱。
    5. 保留其餘設定為預設值,點選Create topic
  13. 建立 EventBridge。
    1. 在您的日誌存檔帳戶中,打開Amazon EventBridge服務。
    2. 前往 Buses Rules
    3. 點選Create rule
    4. 請輸入規則名稱。
    5. 保留其餘設定為預設值,點選下一步
    6. Creation method下,選擇Use pattern form
    7. Event pattern部分,對於Event source,選擇AWS service
    8. 對於AWS service,選擇Simple Storage Service (S3)
    9. 對於Event type,選擇Amazon S3 Event Notification
    10. 對於Event type specification 1,選擇Any event
    11. 對於Event type specification 2,選擇Specify bucket(s) by name
    12. 前往CloudFormation並從CloudAuditLogMonitoringCloudTrailS3Arn欄位複製 S3 名稱。
      S3 名稱是 ARN 中三個冒號 (:::) 之後的所有內容。
    13. 返回Simple Name Service並將 S3 名稱粘貼到Specify bucket(s) by name欄位中。
    14. 點選下一步
    15. Select target(s)畫面上,選擇AWS service
    16. Select a target下,選擇SNS topic
    17. Topic下,選擇您指定名稱的SNS主題。
    18. 點選下一步
    19. Configure tags - optional畫面上,點選下一步
    20. Review and create畫面上,點選Create rule
    21. 複製 ARN。
  14. 指定第二個參數 (CloudAuditLogMonitoringCloudTrailSNSTopicArn)。這是 CloudTrail SNS 主題的 ARN。
    1. 將您剛才複製的 ARN 貼到 CloudAuditLogMonitoringCloudTrailS3Arn 欄位中。
  15. Capabilities 部分,選擇以下確認項目:
    • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
    • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
  16. 點選Create Stack
    新的堆疊的Stack details畫面會顯示Events標籤。創建可能需要幾分鐘。點選重新整理以檢查進度。
  17. Trend Vision One 主控台中,點選 完成
    帳戶在雲端帳戶中顯示,當 CloudFormation 模板部署成功完成後。刷新螢幕以更新表格。