Esta página foi traduzida pela API Cloud Translation.

Integrar o AWS CloudTrail ao Google SecOps

Este documento explica como integrar o AWS CloudTrail ao Google Security Operations (Google SecOps).

Versão da integração: 5.0

Pré-requisitos

Essa integração exige que você configure a política de acesso somente leitura. Para mais informações sobre a política, consulte Conceder permissões personalizadas para usuários do CloudTrail no site de documentação da AWS.

Entradas de integração

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Para configurar a integração, use os seguintes parâmetros:

Parâmetros

Parâmetros
`AWS Access Key ID`	Obrigatório. ID da chave de acesso da AWS a ser usado na integração.
`AWS Secret Key`	Obrigatório. Chave secreta da AWS a ser usada na integração.
`AWS Default Region`	Obrigatório. Região padrão da AWS a ser usada na integração, como `us-west-2`.

AWS Access Key ID

Obrigatório.

ID da chave de acesso da AWS a ser usado na integração.

AWS Secret Key

Obrigatório.

Chave secreta da AWS a ser usada na integração.

AWS Default Region

Obrigatório.

Região padrão da AWS a ser usada na integração, como us-west-2.

Ações

É possível executar qualquer ação de integração automaticamente em um playbook ou manualmente na visualização de caso.

Ping

Teste a conectividade com o AWS CloudTrail.

Entidades

Essa ação não é executada em entidades.

Entradas de ação

N/A

Saídas de ação

Tipo de saída da ação
Anexo do Painel de Casos	N/A
Link do Painel de Casos	N/A
Tabela do painel de casos	N/A
Tabela de enriquecimento	N/A
Resultado JSON	N/A
Resultado do script	Disponível

Resultado do script

Nome do resultado do script	Valor
is_success	Verdadeiro/Falso

Painel de casos

A ação fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the AWS CloudTrail server with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Conectores

Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

AWS CloudTrail: conector do Insights

Extrair insights do AWS CloudTrail.

Entradas do conector

Para configurar o conector, use os seguintes parâmetros:

Parâmetros
`Product Field Name`	Obrigatório.
`Event Field Name`	Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é `CloudTrailEvent_insightDetails_insightType`.
`Environment Field Name`	Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão.
`Environment Regex Pattern`	Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
`Script Timeout (Seconds)`	Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é de 180 segundos.
`AWS Access Key ID`	Obrigatório. ID da chave de acesso da AWS a ser usado na integração.
`AWS Secret Key`	Obrigatório. Chave secreta da AWS a ser usada na integração.
`AWS Default Region`	Obrigatório. Região padrão da AWS a ser usada na integração, como `us-west-2`.
`Alert Severity`	Obrigatório. Nível de gravidade dos alertas do Google SecOps criados com base nos insights. Os valores possíveis são: Informativa Baixo Médio Alta Crítico O valor padrão é `Medium`.
`Fetch Max Hours Backwards`	Opcional. O número de horas antes da primeira iteração do conector para recuperar os insights. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é 1 hora.
`Max Insights To Fetch`	Opcional. Número de incidentes a serem processados por iteração de conector. O valor máximo é 50. O valor padrão é 50.
`Use whitelist as a blacklist`	Obrigatório. Se selecionada, a lista dinâmica será usada como uma lista de bloqueio. Por padrão, essa opção não está marcada.
`Verify SSL`	Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do AWS CloudTrail. Não selecionada por padrão.
`Proxy Server Address`	Opcional. Endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional. Nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional. Senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.