Diese Seite wurde von der Cloud Translation API übersetzt.

AWS CloudTrail in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie AWS CloudTrail in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 5.0

Vorbereitung

Für diese Integration müssen Sie die Richtlinie für schreibgeschützten Zugriff konfigurieren. Weitere Informationen zur Richtlinie finden Sie in der AWS-Dokumentation unter Benutzerdefinierte Berechtigungen für CloudTrail-Nutzer erteilen.

Integrationseingaben

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Parameter

Parameter
`AWS Access Key ID`	Erforderlich. AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll.
`AWS Secret Key`	Erforderlich. Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll.
`AWS Default Region`	Erforderlich. AWS-Standardregion, die in der Integration verwendet werden soll, z. B. `us-west-2`.

AWS Access Key ID

Erforderlich.

AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll.

AWS Secret Key

Erforderlich.

Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll.

AWS Default Region

Erforderlich.

AWS-Standardregion, die in der Integration verwendet werden soll, z. B. us-west-2.

Aktionen

Sie können jede Integrationsaktion entweder automatisch in einem Playbook oder manuell über die Fallansicht ausführen.

Ping

Konnektivität zu AWS CloudTrail testen.

Entitäten

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionseingaben

–

Aktionsausgaben

Ausgabetyp der Aktion
Anhang im Fall-Repository	–
Link zum Fall‑Repository	–
Tabelle „Fall-Repository“	–
Anreicherungstabelle	–
JSON-Ergebnis	–
Scriptergebnis	Verfügbar

Scriptergebnis

Name des Scriptergebnisses	Wert
is_success	Wahr/falsch

Fall-Repository

Die Aktion gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the AWS CloudTrail server with the provided connection parameters! Aktion erfolgreich.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	Aktion erfolgreich.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

AWS CloudTrail – Insights Connector

Gewinnen Sie Erkenntnisse aus AWS CloudTrail.

Connector-Eingaben

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parameter
`Product Field Name`	Erforderlich.
`Event Field Name`	Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.
`Environment Regex Pattern`	Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
`Script Timeout (Seconds)`	Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert beträgt 180 Sekunden.
`AWS Access Key ID`	Erforderlich. AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll.
`AWS Secret Key`	Erforderlich. Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll.
`AWS Default Region`	Erforderlich. Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. `us-west-2`.
`Alert Severity`	Erforderlich. Schweregrad der Google SecOps-Benachrichtigungen, die auf Grundlage der Statistiken erstellt wurden. Mögliche Werte: Informationell Niedrig Mittel Hoch Kritisch Der Standardwert ist `Medium`.
`Fetch Max Hours Backwards`	Optional. Die Anzahl der Stunden vor der ersten Connector-Iteration, in denen die Statistiken abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. Der Standardwert ist 1 Stunde.
`Max Insights To Fetch`	Optional. Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen. Der Höchstwert beträgt 50. Der Standardwert ist 50.
`Use whitelist as a blacklist`	Erforderlich. Wenn diese Option ausgewählt ist, wird die dynamische Liste als Blockierliste verwendet. Diese Option ist standardmäßig nicht angeklickt.
`Verify SSL`	Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum AWS CloudTrail-Server validiert. Diese Option ist standardmäßig nicht ausgewählt.
`Proxy Server Address`	Optional. Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional. Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional. Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten