檢視次數:

分析您的 AWS CloudTrail 日誌,並通過與您連接的 Trend Vision One 環境集成接收有關異常活動的警報。

步驟

  1. 複製在 趨勢雲端一號 控制台中使用的註冊代碼以識別您 Trend Vision One 控制台。
    1. Trend Vision One 主控台中,依次選擇 Point Product ConnectionProduct Connector
    2. 點選連線
    3. 選擇Trend Cloud One
    4. 點選Click to generate the enrollment token連結。
    5. 複製註冊 Token。
  2. 使用註冊代碼將您的趨勢雲端一號環境與Trend Vision One整合。
    1. 打開您的趨勢雲端一號控制台,然後在螢幕底部點選Integrations
      trendMicroCloudOneIntegrations=20221018145151.jpg
    2. 點選導航列上的Trend Vision One™
    3. Enrollment Token部分,點選Register enrollment token
    4. 貼上註冊代碼並點選註冊
    5. 連線狀態 清單中,確認 AWS CloudTrail 的 狀態 狀態為 已連接
  3. Trend Vision One 控制台中,啟用與您 Trend Cloud One 服務的連接。
    1. 前往Point Product ConnectionProduct Connector
    2. 點選Trend Cloud One
    3. 驗證AWS CloudTrail服務是否已啟動。
    4. 點選儲存
  4. 將 AWS 帳戶連接到 趨勢雲端一號 以提供對您 AWS CloudTrail 資料的唯讀訪問權限。
    重要
    重要
    以下 AWS 指示和螢幕截圖截至 2022 年十一月 15 日有效。如需進一步幫助,請查閱您 的 AWS 文件。
    1. 打開您的趨勢雲端一號控制台,然後在螢幕底部點選Integrations
    2. 點選Cloud Accounts在導航欄上,並確保您正在查看AWS標籤。
    3. 點選New
    4. 打開一個新的瀏覽器視窗並登入到您的 AWS 帳戶。
    5. 回到Connect AWS Account畫面,選擇您的 AWS 區域並點選Launch Stack以在新的瀏覽器標籤頁中開啟 AWS 管理控制台來執行 IAM 角色建立範本。
    6. Quick create stack畫面中,向下滾動到Capabilities部分。
      capabilitiesAWSAccountTemplate=20221116151919.jpg
    7. 選擇I acknowledge that AWS CloudFormation might create IAM resources
    8. 點選Create stack
  5. 要將 CloudTrail 連接到 趨勢雲端一號,請在您的 AWS 帳戶中啟動 CloudFormation 模板。
    1. 打開您的趨勢雲端一號控制台,然後在螢幕底部點選Integrations
      trendMicroCloudOneIntegrations=20221018145151.jpg
    2. 點選Cloud Accounts在導航欄上,並確保您正在查看AWS標籤。
    3. 點選您要用來管理 CloudTrail 整合的 AWS 帳戶。
    4. 點選啟動旁的 AWS CloudTrail 整合以開啟AWS CloudTrail Integration面板。
    5. 開啟一個新的瀏覽器視窗並登入 AWS 帳戶。
    6. 回到 AWS CloudTrail Integration 面板,選擇 CloudFormation 模板中使用的 AWS 區域。
    7. 通過點擊Launch Stack自動將 CloudFormation 模板啟動到您的 AWS 帳戶中。
      您的瀏覽器會自動開啟一個新標籤頁,並顯示您的 AWS 帳戶的Quick create stack畫面。
      awsQuickStack=20221116150303.jpg
    8. Parameters部分的ExistingCloudtrailBucketName欄位中,指定您要用來轉發到趨勢雲端一號的現有儲存桶名稱。
      警告
      警告
      對於已經存在 CloudTrail 實例的客戶,請指定現有的 CloudTrail 存儲桶資源,否則將為您創建一個新存儲桶,這可能會產生額外的 AWS 費用。
      對於沒有預先存在的 CloudTrail 儲存桶的新客戶,第一個儲存桶是免費的,您應該將此欄位留空。
    9. Capabilities and transforms部分確認所有存取權限。
      capabilitiesAndTransforms=20221116150909.jpg
    10. 點選Create stack
    在建立堆疊後,請至少等待 15 分鐘以開始資料收集。
  6. 通過在搜尋應用程式中搜尋資料來驗證 CloudTrail 資料收集是否正常運作。
    1. Trend Vision One 主控台中,前往 XDR 安全威脅調查Search
    2. Search Method更改為Cloud Activity Data
    3. 執行快速搜尋以定位 CloudTrail 資料防護。
      例如,輸入以下搜尋字串並點選Search:
      productCode:sct
    在確認 CloudTrail 資料防護收集正常運作後,您可以開始接收任何觸發 Workbench 應用程式中偵測模型的 CloudTrail 事件警報 (XDR 安全威脅調查Workbench)。