Cette page a été traduite par l'API Cloud Translation.

Intégrer AWS CloudTrail à Google SecOps

Ce document explique comment intégrer AWS CloudTrail à Google Security Operations (Google SecOps).

Version de l'intégration : 5.0

Prérequis

Cette intégration nécessite que vous configuriez la règle d'accès en lecture seule. Pour en savoir plus sur le règlement, consultez Accorder des autorisations personnalisées aux utilisateurs CloudTrail sur le site Web de la documentation AWS.

Entrées d'intégration

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Pour configurer l'intégration, utilisez les paramètres suivants :

Paramètres

Paramètres
`AWS Access Key ID`	Obligatoire. ID de clé d'accès AWS à utiliser dans l'intégration.
`AWS Secret Key`	Obligatoire. Clé secrète AWS à utiliser dans l'intégration.
`AWS Default Region`	Obligatoire. Région AWS par défaut à utiliser dans l'intégration, par exemple `us-west-2`.

AWS Access Key ID

Obligatoire.

ID de clé d'accès AWS à utiliser dans l'intégration.

AWS Secret Key

Obligatoire.

Clé secrète AWS à utiliser dans l'intégration.

AWS Default Region

Obligatoire.

Région AWS par défaut à utiliser dans l'intégration, par exemple us-west-2.

Actions

Vous pouvez exécuter n'importe quelle action d'intégration automatiquement dans un playbook ou manuellement depuis la vue Détails de la demande.

Ping

Testez la connectivité à AWS CloudTrail.

Entités

Cette action ne s'applique pas aux entités.

Entrées d'action

N/A

Sorties d'action

Type de sortie de l'action
Pièce jointe au mur des cas	N/A
Lien vers le mur des cas	N/A
Table du mur des cas	N/A
Table d'enrichissement	N/A
Résultat JSON	N/A
Résultat du script	Disponible

Résultat du script

Nom du résultat du script	Valeur
is_success	Vrai/Faux

Mur des cas

L'action fournit les messages de sortie suivants :

Message affiché Description du message

Successfully connected to the AWS CloudTrail server with the provided connection parameters! Action effectuée.

Message affiché	Description du message
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	Action effectuée.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur AWS CloudTrail – Insights

Obtenez des insights à partir d'AWS CloudTrail.

Entrées du connecteur

Pour configurer le connecteur, utilisez les paramètres suivants :

Paramètres
`Product Field Name`	Obligatoire.
`Event Field Name`	Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut.
`Environment Regex Pattern`	Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
`Script Timeout (Seconds)`	Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est de 180 secondes.
`AWS Access Key ID`	Obligatoire. ID de clé d'accès AWS à utiliser dans l'intégration.
`AWS Secret Key`	Obligatoire. Clé secrète AWS à utiliser dans l'intégration.
`AWS Default Region`	Obligatoire. Région AWS par défaut à utiliser dans l'intégration, telle que `us-west-2`.
`Alert Severity`	Obligatoire. Niveau de gravité des alertes Google SecOps créées en fonction des insights. Les valeurs possibles sont les suivantes : Information Faible Moyen Élevée Critique La valeur par défaut est `Medium`.
`Fetch Max Hours Backwards`	Facultatif. Nombre d'heures avant la première itération du connecteur pour récupérer les insights. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est de 1 heure.
`Max Insights To Fetch`	Facultatif. Nombre d'incidents à traiter par itération de connecteur. La valeur maximale est de 50. La valeur par défaut est 50.
`Use whitelist as a blacklist`	Obligatoire. Si cette option est sélectionnée, la liste dynamique est utilisée comme liste de blocage. (case décochée par défaut).
`Verify SSL`	Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur AWS CloudTrail. (non sélectionnée par défaut).
`Proxy Server Address`	Facultatif. Adresse du serveur proxy à utiliser.
`Proxy Username`	Facultatif. Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Facultatif. Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.