此页面由 Cloud Translation API 翻译。

将 AWS CloudTrail 与 Google SecOps 集成

本文档介绍了如何将 AWS CloudTrail 与 Google Security Operations (Google SecOps) 集成。

集成版本：5.0

前提条件

此集成需要您配置只读访问权限政策。如需详细了解该政策，请参阅 AWS 文档网站上的为 CloudTrail 用户授予自定义权限。

集成输入

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

如需配置集成，请使用以下参数：

参数

参数
`AWS Access Key ID`	必填。要在集成中使用的 AWS 访问密钥 ID。
`AWS Secret Key`	必填。要在集成中使用的 AWS 密钥。
`AWS Default Region`	必填。集成中要使用的 AWS 默认区域，例如 `us-west-2`。

AWS Access Key ID

必填。

要在集成中使用的 AWS 访问密钥 ID。

AWS Secret Key

必填。

要在集成中使用的 AWS 密钥。

AWS Default Region

必填。

集成中要使用的 AWS 默认区域，例如 us-west-2。

操作

您可以在 playbook 中自动运行任何集成操作，也可以在“支持请求”视图中手动运行。

Ping

测试与 AWS CloudTrail 的连接。

实体

此操作不会在实体上运行。

操作输入

不适用

操作输出

操作输出类型
案例墙附件	不适用
案例墙链接	不适用
“支持请求墙”表格	不适用
丰富化表	不适用
JSON 结果	不适用
脚本结果	可用

脚本结果

脚本结果名称	值
is_success	True/False

案例墙

该操作会提供以下输出消息：

输出消息消息说明

Successfully connected to the AWS CloudTrail server with the provided connection parameters! 操作成功。

输出消息	消息说明
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	操作成功。
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅注入数据（连接器）。

AWS CloudTrail - Insights 连接器

从 AWS CloudTrail 中提取数据洞见。

连接器输入

如需配置连接器，请使用以下参数：

参数
`Product Field Name`	必填。
`Event Field Name`	必填。用于确定事件名称（子类型）的字段的名称。默认值为 `CloudTrailEvent_insightDetails_insightType`。
`Environment Field Name`	可选。存储环境名称的字段的名称。如果缺少环境字段，连接器将使用默认值。
`Environment Regex Pattern`	可选。要对 `Environment Field Name` 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。使用默认值 `.*` 可检索所需的原始 `Environment Field Name` 值。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
`Script Timeout (Seconds)`	必填。运行当前脚本的 Python 进程的超时时间限制（以秒为单位）。默认值为 180 秒。
`AWS Access Key ID`	必填。要在集成中使用的 AWS 访问密钥 ID。
`AWS Secret Key`	必填。要在集成中使用的 AWS 密钥。
`AWS Default Region`	必填。集成中要使用的 AWS 默认区域，例如 `us-west-2`。
`Alert Severity`	必填。基于分析信息创建的 Google SecOps 提醒的严重程度。可能的值包括：信息低中高严重默认值为 `Medium`。
`Fetch Max Hours Backwards`	可选。在首次连接器迭代之前检索数据洞见的小时数。此参数可应用于您首次启用连接器后的初始连接器迭代，也可作为过期连接器时间戳的回退值。默认值为 1 小时。
`Max Insights To Fetch`	可选。每次连接器迭代要处理的违规事件数量。最大值为 50。默认值为 50。
`Use whitelist as a blacklist`	必填。如果选中，则动态列表用作屏蔽名单。默认情况下处于未选中状态。
`Verify SSL`	必填。如果选择此项，集成会在连接到 AWS CloudTrail 服务器时验证 SSL 证书。默认情况下未选中。
`Proxy Server Address`	可选。要使用的代理服务器的地址。
`Proxy Username`	可选。用于进行身份验证的代理用户名。
`Proxy Password`	可选。用于进行身份验证的代理密码。

连接器规则

连接器支持代理。