配置您的 CloudTrail 設定,以提供更高的 XDR 監控可見性。
 |
注意這些指示中的步驟截至十一月 2023 年有效。
|
 |
重要CloudTrail SNS 主題必須與您要監控的 CloudTrail 位於相同的帳戶和相同的區域。
|
步驟
- 登入您的 AWS 帳戶並訪問 CloudTrail 控制台。
- 如果您正在建立新的追蹤,點選Create a trail並執行以下步驟。
- 配置追蹤屬性並點選下一步。
- 在Events下選擇以下事件類型:
-
管理事件
-
資料防護事件
-
- 配置Management events。
-
選擇Read。
-
選擇Write。
-
確保Exclude AWS KMS events和Exclude Amazon RDS Data API events未被選中。
-
- 在Data events下,將Data event type設置為S3。
- 對於Log selector template,選擇Log all events。
- 在Additional settings下,確保Log file validation已啟動。
- 啟用SNS notification delivery,並選擇New。
注意
設定 SNS 通知傳遞是 AWS CloudTrail 雲端偵測所必需的。部署或更新堆疊時,您需要提供 SNS 主題 ARN。 - 點選下一步。
- 檢查配置並點選Create trail。
- 如果您正在編輯軌跡,請點選Trails在導航窗格中,並執行以下步驟。
- 點選您要編輯的路徑名稱。
- 在Management events中,點選編輯並配置設定。
-
選擇Read。
-
選擇Write。
-
確保Exclude AWS KMS events和Exclude Amazon RDS Data API events未被選中。
-
- 點選Save changes。
- 在Data events中,點選編輯並配置設定。
-
對於Data event source,選擇S3。
-
對於Log selector template,選擇Log all events。
-
- 點選Save changes。
- 在General details中,點選編輯。
- 在Additional settings下,確保Log file validation已啟動。
- 啟用SNS notification delivery。
-
選擇New來建立新的SNS主題。
-
選擇Existing以使用現有的SNS主題。
注意
設定 SNS 通知傳遞是 AWS CloudTrail 雲端偵測所必需的。部署或更新堆疊時,您需要提供 SNS 主題 ARN。 -
- 點選Save changes。
- 點選Update trail以儲存變更。
- 複製 CloudTrail ARN 和 SNS Topic ARN。使用以下其中一個步驟來查找 CloudTrail ARN 和 SNS Topic ARN。部署或更新堆疊以啟用 AWS CloudTrail 的雲端檢測功能時,您必須提供此資訊。
-
在 CloudTrail 主控台中定位資訊:
-
點選導航窗格中的Trails,然後選擇您要監控的 CloudTrail。
-
CloudTrail ARN 會顯示在位置路徑的一部分:。複製完整的 ARN,從
arn:aws:...開始,包括追蹤名稱.../trail-name。 -
SNS 主題 ARN 位於 SNS notification delivery 下的 General details 部分。
-
-
使用 AWS 命令列介面來存取資訊:
-
執行命令 aws cloudtrail describe-trails。
-
定位您想要監控的 CloudTrail。
-
從以下欄位複製資料防護:
-
SnsTopicARN:SNS 主題 ARN -
TrailARN:CloudTrail ARN
-
-
-
使用 AWS SDK 調用 DescribeTrails:
-
運行 AWS SDK。
-
在回應中找到您想要監控的 CloudTrail。
-
從以下欄位複製資料防護:
-
SnsTopicARN:SNS 主題 ARN -
TrailARN:CloudTrail ARN
-
-
-