檢視次數:

新增並連接已配置 AWS CloudTrail 和 Control Tower 的 AWS 審計帳戶,以便 Trend Vision One 為您的多帳戶 AWS 環境提供安全性。

如果您使用稽核帳戶來監控和收集來自您 AWS 日誌存檔帳戶的日誌,您可以將稽核帳戶新增到雲端帳戶應用程式,並啟用 XDR for Cloud - AWS 雲端軌跡功能,以允許 Trend Vision One 存取您的雲端服務,從而在多個帳戶中提供對您雲端資產的安全性和可見性。某些雲端帳戶功能對 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
以下步驟詳細說明如何在您的 AWS 審計帳戶中設置 S3 儲存桶以接收來自您的 AWS 日誌存檔帳戶的複製 Control Tower 日誌,然後如何將雲端帳戶堆疊部署到您的 AWS 審計帳戶。
重要
重要
雲端帳戶應用程式目前僅支援使用 CloudFormation 堆疊範本連接稽核帳戶。
這些步驟適用於截至2024年七月的AWS控制台。
您必須啟用 Control Tower 並確保已設置您的 AWS 日誌存檔和 AWS 審計帳戶,然後才能使用這些步驟將 Trend Vision One 連接到已啟動 XDR for Cloud - AWS 雲端軌跡。

步驟

  1. 在開始之前,請登入Trend Vision One主控台、您的 AWS 日誌存檔帳戶和 AWS 審計帳戶。
    秘訣
    秘訣
    為獲得最佳效果,請登入Trend Vision One和 AWS 審計帳戶,並在同一瀏覽器會話中的不同標籤頁上使用。使用不同的瀏覽器訪問 AWS 日誌存檔帳戶。
  2. 在 AWS 審計帳戶中,建立一個 S3 儲存桶以收集來自控制塔在日誌歸檔帳戶上的複製資料防護。
    1. 前往Amazon S3Buckets
    2. 點選Create bucket
      Create bucket畫面出現。
    3. 對於Bucket type,選擇General purpose
    4. 請為儲存桶提供一個唯一的名稱。
      重要
      重要
      在命名您審核帳戶中的 S3 儲存貯體時,請勿使用前綴 "aws-controltower"。由於 AWS Control Tower 施加的限制,這可能會關閉您編輯或刪除儲存貯體的能力。
    5. Bucket Versioning下,選擇啟動
    6. 保留所有其他設定為預設值,然後點選Create bucket
      S3 儲存桶已建立。在接下來的步驟中,本主題將使用「稽核儲存桶」來指代此 S3 儲存桶。
  3. 為審計存儲桶配置 Amazon EventBridge。
    1. 前往Amazon S3Buckets
    2. 找到稽核儲存桶並點選儲存桶名稱以開啟Bucket details畫面。
    3. 前往 PropertiesAmazon EventBridge
    4. 點選編輯
    5. 對於Send notifications to Amazon EventBridge for all events in this bucket,選擇開啟
    6. 點選Save changes
  4. 在您的 AWS 日誌存檔帳戶中,為 Control Tower 存儲桶創建一個複製規則。
    1. 登入到您的 AWS 日誌存檔帳戶,然後前往 Amazon S3Buckets
    2. 定位您要監控的控制塔儲存桶並點選名稱。
      秘訣
      秘訣
      輸入前綴 aws-cloudtrail 以篩選列表並更輕鬆地找到存儲桶。
    3. Bucket details畫面中,前往ManagementReplication rules
    4. 點選Create replication rule
    5. 指定規則的名稱。
    6. 確保狀態設置為已啟動
    7. Source bucket部分,選擇規則範圍。
      • 如果您只想複製選定的資料,請選擇Limit the scope of this rule using one or more filters。選擇此選項需要您為複製的資料定義篩選條件。
      • 要複製所有資料,請選擇Apply to all objects in the bucket趨勢科技 建議使用此配置以最大化您對雲端環境的可見性。
    8. Destination部分,選擇Specify a bucket in another account
    9. 對於帳號 ID,請貼上 AWS 稽核帳號的帳號 ID。
    10. 對於Bucket name,請貼上稽核儲存桶的名稱。
    11. 選擇Change object ownership to destination bucket owner
    12. IAM role下,角色應自動選擇。
      如果沒有可用的 IAM 角色,請建立一個新的 IAM 角色。
    13. 點選 IAM 角色以在新分頁中開啟 IAM 角色詳細資訊。
    14. 前往Permissions並點選編輯
    15. 驗證權限包含以下代碼。如果沒有,請複製並貼上以下內容:
      {
			"Action": [
				"s3:ReplicateObject",
				"s3:ReplicateDelete",
				"s3:ReplicateTags",
				"s3:ObjectOwnerOverrideToBucketOwner"
			],
			"Effect": "Allow",
			"Resource": [
				"THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT/*",
				"THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
			]
		}
      Resource 屬性中替換以下參數:
      • THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT:您想要複製的控制塔存儲桶的 ARN。
      • THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT:審計存儲桶的 ARN。
      重要
      重要
      您必須在Resource中的兩個 ARN 值結尾處包含/*。例如,如果您的審計桶 ARN 是aws:arn::12345:audit.bucket,則輸入的值為"aws:arn::12345:audit.bucket/*"
    16. 點選下一步,然後點選Save changes
    17. 返回標籤頁以配置複製規則。
    18. 將所有其他設定保留為預設值,然後點選儲存
    19. 當出現提示時,選擇是否複製現有物件,然後點選Submit
  5. 配置稽核儲存桶政策。
    1. 在 AWS 審計帳戶中,前往 Amazon S3Buckets
    2. 找到稽核桶並點選名稱以進入Bucket details畫面。
    3. 前往PermissionsBucket policy
    4. 點選編輯
    5. 複製並貼上以下政策。
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AUDIT_BUCKET_NAME",
            "Effect": "Allow",
            "Principal": {
                "AWS": "ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete",
                "s3:ObjectOwnerOverrideToBucketOwner",
                "s3:ReplicateTags"
            ],
            "Resource": [
                "ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
            ]
        }
    ]
}
      請替換以下參數:
      • AUDIT_BUCKET_NAME:稽核儲存桶的名稱。
      • ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE:分配給您所建立的複製規則的 IAM 角色的 ARN,用於 AWS 日誌存檔帳戶中的 Control Tower 儲存桶。
      • ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT:審計存儲桶的 ARN。您必須在 ARN 的末尾包含 /*
    6. 點選Save changes
  6. 在 AWS 審計帳戶中建立一個 Amazon SNS 主題。
    1. 前往Amazon SNSTopics
    2. 點選Create topic
    3. 選擇Standard
    4. 請輸入主題名稱。
    5. 保留其餘設定為預設值,然後點選Create topic
  7. 在 AWS 審計帳戶中建立 EventBridge。
    1. 前往Amazon EventBridgeBuses Rules
    2. 點選Create rule
    3. 請輸入規則名稱。
    4. 保留其餘設定為預設值,然後點選下一步
    5. Creation method下,選擇Use pattern form
    6. Event pattern部分,對於Event source,選擇AWS services
    7. 對於AWS service,選擇Simple Storage Service (S3)
    8. 對於Event type,選擇Amazon S3 Event Notification
    9. 對於Event type specification 1,選擇Specific event(s),然後選擇Object Created
    10. 對於Event type specification 2,選擇Specify bucket(s) by name
    11. 將稽核儲存桶的名稱貼上到Specify bucket(s) by name欄位中。
    12. 點選下一步
    13. 對於Target 1,選擇AWS service作為目標類型。
    14. Select a target下,選擇SNS topic
    15. Topic下,選擇您創建的SNS主題
    16. 點選下一步,然後再次點選下一步
    17. Review and create畫面上,點選Create rule
  8. Trend Vision One控制台中,前往Cloud SecurityCloud AccountsAWS
  9. 點選Add Account
    Add AWS Account 視窗出現。
  10. 指定部署類型。
    1. 對於Deployment Method,選擇CloudFormation
    2. 對於帳戶類型,選擇Single AWS Account
    3. 點選下一步
  11. 指定帳戶的一般資訊。
    1. 指定要在雲端帳戶應用程式中顯示的帳號
    2. 新增Description以顯示在雲端帳戶中。
    3. 選擇 AWS 區域以部署 CloudFormation 範本。
      注意
      注意
      預設區域是根據您Trend Vision One的區域。
      某些功能和權限在某些 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
    4. 如果您有多個伺服器和工作負載保護管理器實例,請選擇要與連接的帳戶關聯的實例。
      注意
      注意
      • 如果您只有一個伺服器和工作負載保護管理器實例,該帳戶將自動與該實例關聯。
    5. 要將自訂標籤新增到 Trend Vision One 部署的資源,請選擇Resource tagging並指定鍵值對。
      點選Create a new tag以新增最多三個標籤。
      注意
      注意
      • 金鑰最多可以有 128 個字元,且不能以 aws 開頭。
      • 值最多可以包含 256 個字元。
    6. 點選下一步
  12. 為您的稽核帳戶配置Features and Permissions
    1. 啟用 Cloud Detections for AWS CloudTrail
    2. 展開 Cloud Detections for AWS CloudTrail,然後啟用 Control Tower deployment
    3. 點選下一步
  13. 在 AWS 控制台中啟動 CloudFormation 模板。
    1. 如果您想在啟動前查看堆疊範本,請點選Download and Review Template
    2. 點選Launch Stack
    您的 AWS 審計帳戶會在 Quick create stack 畫面上開啟 CloudFormation 服務。
  14. 向下滾動到Parameters並找到標記為These are the parameters required to enable service cloud audit log monitoring control tower的部分。
    請提供以下參數的值:
    • CloudAuditLogMonitoringCloudTrailArn:aws-controltower-BaselineCloudTrail 的 ARN。
    • CloudAuditLogMonitoringCloudTrailS3Arn:審計儲存桶的 ARN。
    • CloudAuditLogMonitoringCloudTrailSNSTopicArn:在您的 AWS 審計帳戶中建立的 SNS 主題 的 ARN。
    重要
    重要
    • 監控的 CloudTrail 和 CloudTrail SNS 必須在相同帳戶上,並位於您選擇用於範本部署的相同區域。
    • 請勿更改Parameters部分中的任何其他設定。CloudFormation 會自動提供參數的設定。更改參數可能會導致堆疊建立失敗。
  15. Capabilities 部分,選擇以下確認項目:
    • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
    • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
  16. 點選Create Stack
    新的堆疊的Stack details畫面會顯示Events標籤。創建可能需要幾分鐘。點選重新整理以檢查進度。
  17. Trend Vision One 主控台中,點選 完成
    帳戶在雲端帳戶中顯示,當 CloudFormation 模板部署成功完成後。刷新螢幕以更新表格。