Questa pagina è stata tradotta dall'API Cloud Translation.

Integrare AWS CloudTrail con Google SecOps

Questo documento spiega come integrare AWS CloudTrail con Google Security Operations (Google SecOps).

Versione integrazione: 5.0

Prerequisiti

Questa integrazione richiede la configurazione del criterio di accesso di sola lettura. Per ulteriori informazioni sulla policy, consulta Concessione di autorizzazioni personalizzate per gli utenti CloudTrail sul sito web della documentazione di AWS.

Input di integrazione

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Per configurare l'integrazione, utilizza i seguenti parametri:

Parametri

Parametri
`AWS Access Key ID`	Obbligatorio. ID chiave di accesso AWS da utilizzare nell'integrazione.
`AWS Secret Key`	Obbligatorio. Chiave segreta AWS da utilizzare nell'integrazione.
`AWS Default Region`	Obbligatorio. Regione AWS predefinita da utilizzare nell'integrazione, ad esempio `us-west-2`.

AWS Access Key ID

Obbligatorio.

ID chiave di accesso AWS da utilizzare nell'integrazione.

AWS Secret Key

Obbligatorio.

Chiave segreta AWS da utilizzare nell'integrazione.

AWS Default Region

Obbligatorio.

Regione AWS predefinita da utilizzare nell'integrazione, ad esempio us-west-2.

Azioni

Puoi eseguire qualsiasi azione di integrazione automaticamente in un playbook o manualmente dalla visualizzazione della richiesta.

Dindin

Testa la connettività ad AWS CloudTrail.

Entità

Questa azione non viene eseguita sulle entità.

Input azione

N/D

Output dell'azione

Tipo di output dell'azione
Allegato della bacheca casi	N/D
Link alla bacheca richieste	N/D
Tabella della bacheca casi	N/D
Tabella di arricchimento	N/D
Risultato JSON	N/D
Risultato dello script	Disponibile

Risultato dello script

Nome del risultato dello script	Valore
is_success	Vero/Falso

Bacheca casi

L'azione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the AWS CloudTrail server with the provided connection parameters! Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	Azione riuscita.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Connettori

Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Connettore AWS CloudTrail - Insights

Estrai approfondimenti da AWS CloudTrail.

Input del connettore

Per configurare il connettore, utilizza i seguenti parametri:

Parametri
`Product Field Name`	Obbligatorio.
`Event Field Name`	Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito.
`Environment Regex Pattern`	Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` non elaborato richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
`Script Timeout (Seconds)`	Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è 180 secondi.
`AWS Access Key ID`	Obbligatorio. ID chiave di accesso AWS da utilizzare nell'integrazione.
`AWS Secret Key`	Obbligatorio. Chiave segreta AWS da utilizzare nell'integrazione.
`AWS Default Region`	Obbligatorio. Regione AWS predefinita da utilizzare nell'integrazione, ad esempio `us-west-2`.
`Alert Severity`	Obbligatorio. Livello di gravità degli avvisi di Google SecOps creati in base agli approfondimenti. I valori possibili sono: Informativo Bassa Media Alta Critico Il valore predefinito è `Medium`.
`Fetch Max Hours Backwards`	Facoltativo. Il numero di ore prima della prima iterazione del connettore per recuperare gli approfondimenti. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è 1 ora.
`Max Insights To Fetch`	Facoltativo. Numero di incidenti da elaborare per un'iterazione del connettore. Il valore massimo è 50. Il valore predefinito è 50.
`Use whitelist as a blacklist`	Obbligatorio. Se selezionata, la lista dinamica viene utilizzata come blocklist. La casella di controllo è deselezionata per impostazione predefinita.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server AWS CloudTrail. Non selezionato per impostazione predefinita.
`Proxy Server Address`	Facoltativo. Indirizzo del server proxy da utilizzare.
`Proxy Username`	Facoltativo. Nome utente proxy per l'autenticazione.
`Proxy Password`	Facoltativo. Password del proxy per l'autenticazione.

Regole del connettore

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.