이 페이지는 Cloud Translation API를 통해 번역되었습니다.

AWS CloudTrail을 Google SecOps와 통합

이 문서에서는 AWS CloudTrail을 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 5.0

기본 요건

이 통합을 사용하려면 읽기 전용 액세스 정책을 구성해야 합니다. 정책에 대한 자세한 내용은 AWS 문서 웹사이트의 CloudTrail 사용자에게 맞춤 권한 부여를 참고하세요.

통합 입력

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합을 구성하려면 다음 매개변수를 사용하세요.

매개변수

매개변수
`AWS Access Key ID`	필수 항목입니다. 통합에 사용할 AWS 액세스 키 ID입니다.
`AWS Secret Key`	필수 항목입니다. 통합에 사용할 AWS 보안 비밀 키입니다.
`AWS Default Region`	필수 항목입니다. 통합에 사용할 AWS 기본 리전입니다(예: `us-west-2`).

AWS Access Key ID

필수 항목입니다.

통합에 사용할 AWS 액세스 키 ID입니다.

AWS Secret Key

필수 항목입니다.

통합에 사용할 AWS 보안 비밀 키입니다.

AWS Default Region

필수 항목입니다.

통합에 사용할 AWS 기본 리전입니다(예: us-west-2).

작업

플레이북에서 자동으로 또는 케이스 보기에서 수동으로 통합 작업을 실행할 수 있습니다.

핑

AWS CloudTrail에 대한 연결을 테스트합니다.

항목

이 작업은 항목에서 실행되지 않습니다.

작업 입력

해당 사항 없음

작업 출력

작업 출력 유형
케이스 월 연결	해당 사항 없음
케이스 월 링크	해당 사항 없음
케이스 월 테이블	해당 사항 없음
보강 테이블	해당 사항 없음
JSON 결과	해당 사항 없음
스크립트 결과	사용 가능

스크립트 결과

스크립트 결과 이름	값
is_success	True/False

케이스 월

이 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명

Successfully connected to the AWS CloudTrail server with the provided connection parameters! 작업이 완료되었습니다.

출력 메시지	메시지 설명
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	작업이 완료되었습니다.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

AWS CloudTrail - Insights 커넥터

AWS CloudTrail에서 유용한 정보를 가져옵니다.

커넥터 입력

커넥터를 구성하려면 다음 매개변수를 사용하세요.

매개변수
`Product Field Name`	필수 항목입니다.
`Event Field Name`	필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 `CloudTrailEvent_insightDetails_insightType`입니다.
`Environment Field Name`	(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다.
`Environment Regex Pattern`	(선택사항) `Environment Field Name` 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 기본값 `.*`를 사용하여 필요한 원시 `Environment Field Name` 값을 가져옵니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
`Script Timeout (Seconds)`	필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 180초입니다.
`AWS Access Key ID`	필수 항목입니다. 통합에 사용할 AWS 액세스 키 ID입니다.
`AWS Secret Key`	필수 항목입니다. 통합에 사용할 AWS 보안 비밀 키입니다.
`AWS Default Region`	필수 항목입니다. 통합에 사용할 AWS 기본 리전입니다(예: `us-west-2`).
`Alert Severity`	필수 항목입니다. 통계를 기반으로 생성된 Google SecOps 알림의 심각도 수준입니다. 가능한 값은 다음과 같습니다. 정보 제공 낮음 중간 높음 심각 기본값은 `Medium`입니다.
`Fetch Max Hours Backwards`	(선택사항) 첫 번째 커넥터 반복 전에 통계를 가져올 시간(시간)입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 1시간입니다.
`Max Insights To Fetch`	(선택사항) 커넥터 반복당 처리할 인시던트 수입니다. 최댓값은 50입니다. 기본값은 50입니다.
`Use whitelist as a blacklist`	필수 항목입니다. 선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택 취소되어 있습니다.
`Verify SSL`	필수 항목입니다. 선택하면 통합에서 AWS CloudTrail 서버에 연결할 때 SSL 인증서를 검증합니다. 기본적으로 선택되지 않습니다.
`Proxy Server Address`	(선택사항) 사용할 프록시 서버의 주소입니다.
`Proxy Username`	(선택사항) 인증할 프록시 사용자 이름입니다.
`Proxy Password`	(선택사항) 인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.