このページは Cloud Translation API によって翻訳されました。

AWS CloudTrail を Google SecOps と統合する

このドキュメントでは、AWS CloudTrail を Google Security Operations（Google SecOps）と統合する方法について説明します。

統合バージョン: 5.0

前提条件

この統合では、読み取り専用アクセスポリシーを構成する必要があります。ポリシーの詳細については、AWS ドキュメントウェブサイトの CloudTrail ユーザーにカスタム権限を付与するをご覧ください。

統合の入力

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合を構成するには、次のパラメータを使用します。

パラメータ

パラメータ
`AWS Access Key ID`	必須。統合で使用する AWS アクセスキー ID。
`AWS Secret Key`	必須。統合で使用する AWS 秘密鍵。
`AWS Default Region`	必須。統合で使用する AWS のデフォルトリージョン（`us-west-2` など）。

AWS Access Key ID

必須。

統合で使用する AWS アクセスキー ID。

AWS Secret Key

必須。

統合で使用する AWS 秘密鍵。

AWS Default Region

必須。

統合で使用する AWS のデフォルトリージョン（us-west-2 など）。

操作

統合アクションは、ハンドブックで自動的に実行することも、ケースビューから手動で実行することもできます。

Ping

AWS CloudTrail への接続性をテストします。

エンティティ

このアクションはエンティティでは実行されません。

アクション入力

なし

アクションの出力

アクションの出力タイプ
ケースウォールのアタッチメント	なし
ケースのウォールのリンク	なし
ケースウォールテーブル	なし
拡充テーブル	なし
JSON の結果	なし
スクリプトの結果	利用可能

スクリプトの結果

スクリプトの結果名	値
is_success	True/False

ケースウォール

このアクションでは、次の出力メッセージが表示されます。

出力メッセージメッセージの説明

Successfully connected to the AWS CloudTrail server with the provided connection parameters! アクションが成功しました。

出力メッセージ	メッセージの説明
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	アクションが成功しました。
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	操作を実行できませんでした。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

コネクタ

Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む（コネクタ）をご覧ください。

AWS CloudTrail - Insights コネクタ

AWS CloudTrail から分析情報を取得します。

コネクタの入力

コネクタを構成するには、次のパラメータを使用します。

パラメータ
`Product Field Name`	必須。
`Event Field Name`	必須。イベント名（サブタイプ）を特定するフィールドの名前。デフォルト値は `CloudTrailEvent_insightDetails_insightType` です。
`Environment Field Name`	省略可。環境名が保存されるフィールドの名前。環境フィールドがない場合、コネクタはデフォルト値を使用します。
`Environment Regex Pattern`	省略可。 `Environment Field Name` フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。デフォルト値 `.*` を使用して、必要な未加工の `Environment Field Name` 値を取得します。正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
`Script Timeout (Seconds)`	必須。現在のスクリプトを実行する Python プロセスのタイムアウト上限（秒単位）。デフォルト値は 180 秒です。
`AWS Access Key ID`	必須。統合で使用する AWS アクセスキー ID。
`AWS Secret Key`	必須。統合で使用する AWS 秘密鍵。
`AWS Default Region`	必須。統合で使用する AWS のデフォルトリージョン（`us-west-2` など）。
`Alert Severity`	必須。分析情報に基づいて作成された Google SecOps アラートの重大度。指定できる値は次のとおりです。情報低中高重大デフォルト値は `Medium` です。
`Fetch Max Hours Backwards`	省略可。最初のコネクタイテレーションで分析情報を取得するまでの時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタイテレーション、または期限切れのコネクタタイムスタンプのフォールバック値に適用できます。デフォルト値は 1 時間です。
`Max Insights To Fetch`	省略可。 1 回のコネクタのイテレーションで処理するインシデントの数。最大値は 50 です。デフォルト値は 50。
`Use whitelist as a blacklist`	必須。選択すると、動的リストがブロックリストとして使用されます。デフォルトではオフになっています。
`Verify SSL`	必須。選択すると、AWS CloudTrail サーバーに接続するときに SSL 証明書が検証されます。デフォルトでは選択されていません。
`Proxy Server Address`	省略可。使用するプロキシサーバーのアドレス。
`Proxy Username`	省略可。認証に使用するプロキシのユーザー名。
`Proxy Password`	省略可。認証に使用するプロキシパスワード。

コネクタルール

コネクタでプロキシがサポートされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。