Esta página se ha traducido con Cloud Translation API.

Integrar AWS CloudTrail con Google SecOps

En este documento se explica cómo integrar AWS CloudTrail con Google Security Operations (Google SecOps).

Versión de integración: 5.0

Requisitos previos

Para esta integración, debe configurar la política de acceso de solo lectura. Para obtener más información sobre la política, consulta el artículo Granting custom permissions for CloudTrail users (Conceder permisos personalizados a usuarios de CloudTrail) en el sitio web de documentación de AWS.

Entradas de integración

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Para configurar la integración, usa los siguientes parámetros:

Parámetros

Parámetros
`AWS Access Key ID`	Obligatorio. ID de clave de acceso de AWS que se va a usar en la integración.
`AWS Secret Key`	Obligatorio. Clave secreta de AWS que se va a usar en la integración.
`AWS Default Region`	Obligatorio. Región predeterminada de AWS que se usará en la integración, como `us-west-2`.

AWS Access Key ID

Obligatorio.

ID de clave de acceso de AWS que se va a usar en la integración.

AWS Secret Key

Obligatorio.

Clave secreta de AWS que se va a usar en la integración.

AWS Default Region

Obligatorio.

Región predeterminada de AWS que se usará en la integración, como us-west-2.

Acciones

Puedes ejecutar cualquier acción de integración de forma automática en una guía o manualmente desde la vista de caso.

Ping

Prueba la conectividad con AWS CloudTrail.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acciones

N/A

Resultados de la acción

Tipo de salida de la acción
Adjunto del panel de casos	N/A
Enlace del panel de casos	N/A
Tabla del panel de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	N/A
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

Nombre del resultado del script	Valor
is_success	Verdadero/Falso

Panel de casos

La acción proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the AWS CloudTrail server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

AWS CloudTrail - Insights Connector

Extrae información valiosa de AWS CloudTrail.

Entradas de conectores

Para configurar el conector, usa los siguientes parámetros:

Parámetros
`Product Field Name`	Obligatorio.
`Event Field Name`	Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado.
`Environment Regex Pattern`	Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`Script Timeout (Seconds)`	Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 180 segundos.
`AWS Access Key ID`	Obligatorio. ID de clave de acceso de AWS que se va a usar en la integración.
`AWS Secret Key`	Obligatorio. Clave secreta de AWS que se va a usar en la integración.
`AWS Default Region`	Obligatorio. Región predeterminada de AWS que se usará en la integración, como `us-west-2`.
`Alert Severity`	Obligatorio. Nivel de gravedad de las alertas de Google SecOps creadas a partir de las estadísticas. Los valores posibles son: Informativa Bajo Medio Alta Crítica El valor predeterminado es `Medium`.
`Fetch Max Hours Backwards`	Opcional. Número de horas antes de la primera iteración del conector para obtener las estadísticas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es 1 hora.
`Max Insights To Fetch`	Opcional. Número de incidentes que se procesarán por iteración de conector. El valor máximo es 50. El valor predeterminado es 50.
`Use whitelist as a blacklist`	Obligatorio. Si se selecciona, la lista dinámica se usa como lista de bloqueo. Está desmarcada de forma predeterminada.
`Verify SSL`	Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de AWS CloudTrail. No está seleccionada de forma predeterminada.
`Proxy Server Address`	Opcional. Dirección del servidor proxy que se va a usar.
`Proxy Username`	Opcional. Nombre de usuario del proxy para autenticarte.
`Proxy Password`	Opcional. Contraseña del proxy para autenticarte.

Reglas de conectores

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.