本頁面由 Cloud Translation API 翻譯而成。

整合 AWS CloudTrail 與 Google SecOps

本文說明如何將 AWS CloudTrail 與 Google Security Operations (Google SecOps) 整合。

整合版本：5.0

必要條件

這項整合功能需要設定唯讀存取政策。如要進一步瞭解這項政策，請參閱 AWS 說明文件網站上的「授予 CloudTrail 使用者自訂權限」。

整合輸入內容

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

如要設定整合，請使用下列參數：

參數

參數
`AWS Access Key ID`	必填。用於整合的 AWS 存取金鑰 ID。
`AWS Secret Key`	必填。用於整合的 AWS 私密金鑰。
`AWS Default Region`	必填。要在整合中使用的 AWS 預設區域，例如 `us-west-2`。

AWS Access Key ID

必填。

用於整合的 AWS 存取金鑰 ID。

AWS Secret Key

必填。

用於整合的 AWS 私密金鑰。

AWS Default Region

必填。

要在整合中使用的 AWS 預設區域，例如 us-west-2。

動作

您可以透過應對手冊自動執行任何整合動作，也可以從案件檢視畫面手動執行。

乒乓

測試與 AWS CloudTrail 的連線。

實體

這項操作不會對實體執行。

動作輸入內容

不適用

動作輸出內容

動作輸出類型
案件總覽附件	不適用
案件總覽連結	不適用
案件訊息牆表格	不適用
補充資訊表格	不適用
JSON 結果	不適用
指令碼結果	可用

指令碼結果

指令碼結果名稱	值
is_success	True/False

案件總覽

這個動作會提供下列輸出訊息：

輸出訊息訊息說明

Successfully connected to the AWS CloudTrail server with the provided connection parameters! 動作成功。

輸出訊息	訊息說明
`Successfully connected to the AWS CloudTrail server with the provided connection parameters!`	動作成功。
`Failed to connect to the AWS CloudTrail server! Error is ERROR_REASON`	動作失敗。檢查伺服器的連線、輸入參數或憑證。

Failed to connect to the AWS CloudTrail server! Error is
      ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器，請參閱「擷取資料 (連接器)」。

AWS CloudTrail - Insights 連接器

從 AWS CloudTrail 取得洞察資料。

連接器輸入內容

如要設定連接器，請使用下列參數：

參數
`Product Field Name`	必填。
`Event Field Name`	必填。決定事件名稱 (子類型) 的欄位名稱。預設值為 `CloudTrailEvent_insightDetails_insightType`。
`Environment Field Name`	選填。儲存環境名稱的欄位名稱。如果缺少環境欄位，連接器會使用預設值。
`Environment Regex Pattern`	選填。要在「`Environment Field Name`」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯，操控環境欄位。使用預設值 `.*` 擷取必要的原始 `Environment Field Name` 值。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
`Script Timeout (Seconds)`	必填。執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。預設值為 180 秒。
`AWS Access Key ID`	必填。用於整合的 AWS 存取金鑰 ID。
`AWS Secret Key`	必填。用於整合的 AWS 私密金鑰。
`AWS Default Region`	必填。要在整合中使用的 AWS 預設區域，例如 `us-west-2`。
`Alert Severity`	必填。根據深入分析建立的 Google SecOps 快訊嚴重程度。可能的值包括：參考用低中高重大預設值為 `Medium`。
`Fetch Max Hours Backwards`	選填。在第一次連接器疊代之前，擷取洞察資料的小時數。這個參數可套用至首次啟用連接器後的初始連接器疊代，或套用至過期連接器時間戳記的回溯值。預設值為 1 小時。
`Max Insights To Fetch`	選填。每個連接器疊代要處理的事件數量。最大值為 50。預設值為 50。
`Use whitelist as a blacklist`	必填。如果選取，動態清單會做為封鎖清單使用。 (預設為不勾選)。
`Verify SSL`	必填。如果選取這個選項，整合服務會在連線至 AWS CloudTrail 伺服器時驗證 SSL 憑證。預設為未選取。
`Proxy Server Address`	選填。要使用的 Proxy 伺服器位址。
`Proxy Username`	選填。用於驗證的 Proxy 使用者名稱。
`Proxy Password`	選填。用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。