Se usó la API de Cloud Translation para traducir esta página.

Integra AWS CloudTrail con las SecOps de Google

En este documento, se explica cómo integrar AWS CloudTrail con Google Security Operations (Google SecOps).

Versión de integración: 5.0

Requisitos previos

Esta integración requiere que configures la política de acceso de solo lectura. Para obtener más información sobre la política, consulta Cómo otorgar permisos personalizados a los usuarios de CloudTrail en el sitio web de documentación de AWS.

Entradas de integración

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Para configurar la integración, usa los siguientes parámetros:

Parámetros

Parámetros
`AWS Access Key ID`	Obligatorio. ID de la clave de acceso de AWS que se usará en la integración.
`AWS Secret Key`	Obligatorio. Clave secreta de AWS que se usará en la integración.
`AWS Default Region`	Obligatorio. Región predeterminada de AWS que se usará en la integración, como `us-west-2`.

AWS Access Key ID

Obligatorio.

ID de la clave de acceso de AWS que se usará en la integración.

AWS Secret Key

Obligatorio.

Clave secreta de AWS que se usará en la integración.

AWS Default Region

Obligatorio.

Región predeterminada de AWS que se usará en la integración, como us-west-2.

Acciones

Puedes ejecutar cualquier acción de integración automáticamente en una guía o manualmente desde la vista del caso.

Ping

Prueba la conectividad con AWS CloudTrail.

Entidades

Esta acción no se ejecuta en entidades.

Entradas de acción

N/A

Resultados de la acción

Tipo de salida de la acción
Adjunto del muro de casos	N/A
Vínculo al muro de casos	N/A
Tabla del muro de casos	N/A
Tabla de enriquecimiento	N/A
Resultado de JSON	N/A
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Valor
is_success	Verdadero/Falso

Muro de casos

La acción proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the AWS CloudTrail server with the provided connection parameters! La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	La acción se completó correctamente.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

AWS CloudTrail: conector de Insights

Extrae estadísticas de AWS CloudTrail.

Entradas del conector

Para configurar el conector, usa los siguientes parámetros:

Parámetros
`Product Field Name`	Obligatorio.
`Event Field Name`	Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado.
`Environment Regex Pattern`	Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`Script Timeout (Seconds)`	Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180 segundos.
`AWS Access Key ID`	Obligatorio. ID de la clave de acceso de AWS que se usará en la integración.
`AWS Secret Key`	Obligatorio. Clave secreta de AWS que se usará en la integración.
`AWS Default Region`	Obligatorio. Región predeterminada de AWS para usar en la integración, como `us-west-2`.
`Alert Severity`	Obligatorio. Es el nivel de gravedad de las alertas de Google SecOps creadas en función de las estadísticas. Los valores posibles son los siguientes: Informativo Baja Medio Alta Crítico El valor predeterminado es `Medium`.
`Fetch Max Hours Backwards`	Opcional. Cantidad de horas antes de la primera iteración del conector para recuperar las estadísticas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es 1 hora.
`Max Insights To Fetch`	Opcional. Cantidad de incidentes que se procesarán en cada iteración del conector. El valor máximo es 50. El valor predeterminado es 50.
`Use whitelist as a blacklist`	Obligatorio. Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está marcada de forma predeterminada.
`Verify SSL`	Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de AWS CloudTrail. No está seleccionada de forma predeterminada.
`Proxy Server Address`	Opcional. Dirección del servidor proxy que se usará.
`Proxy Username`	Opcional. Nombre de usuario del proxy para la autenticación.
`Proxy Password`	Opcional. Contraseña del proxy para la autenticación.

Reglas del conector

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.