AWS CloudTrail集成

AWS CloudTrail是一项持续监控您的AWS帐户活动并记录事件的服务。它可以跟踪用户活动、API使用情况和AWS资源的变化,这样您就可以看到帐户上正在进行的操作。CloudTrail存储信息,如谁发出请求、使用的服务、访问的资源和采取的操作。您可以从CloudTrail控制台查看、搜索和下载这些信息。

为了帮助您存储,跟踪和响应事件,您可以从控制台,AWS CLI或CloudTrail API创建Trails。目标是简化您的活动历史记录,以便您可以监督您的AWS基础设施,并确保符合您的公司政策和监管标准。

您可以设置AWS CloudTrail将AWS帐户活动直接传输到Insigrops中。通过集成,您可以使用Insightops搜索您的AWS帐户活动以获取特定操作,启动特定操作的用户以及由其影响的资源。

要设置AWS CloudTrail集成,您需要:

  1. 启用AWS CloudTrail。
  2. 创建一个新的路径。
  3. 创建一个SQS队列并将其传给SNS主题。
  4. 建立IAM策略和角色的隐私和信任关系。
  5. 添加Insigrops的集成。

使AWS CloudTrail

创建AWS帐户时,AWS CloudTrail会自动启用。所有活动都被记录为事件并存档90天。为了帮助您存储,分析和管理您的AWS资源的更改,并扩展超过90天的事件记录,可以创建CloudTrail Trail。

创建一个小道

一条路径是您的AWS帐户活动的长期记录。它允许您过滤并连续将路径的日志文件传送到Amazon S3存储桶,这将被发送到Insigrops。

为了建立AWS CloudTrail与InsightOps的集成,您需要创建一个新的路径。

了解有关创建小径的更多信息

为了更深入地了解和更全面地了解CloudTrail trail,阅读AWS文档

创建一个小道:

  1. 使用为CloudTrail管理配置的IAM用户登录您的AWS管理控制台。您需要指定要创建步骤的区域。
  2. 从导航窗格中,去CloudTrail > Trails >创建新路径
  3. 在里面径名字段,输入描述性名称,可帮助您轻松识别路径的目的。
  4. 在存储位置部分中,选择是否要创建新的Amazon S3存储桶或使用现有Amazon S3存储桶,然后按照说明进行操作。S3存储桶将用于存储您的CloudTrail日志。
  5. 指定S3存储桶后,单击先进的链接以展开菜单。
  6. 找出为每个日志文件传递发送SNS通知选择和选择是的
  7. 要创建一个新的SNS话题,请选择是的为了创建一个新的社交网络话题选择。否则,要使用现有的SNS主题,请选择并在下拉框中选择你想要使用的社交网站主题。
  8. 创建小径。

创建Amazon SQS队列并订阅SNS主题

创建路径后,您需要:

  1. 创建一个SQS队列。
  2. 为您的SNS主题订阅队列。

第1步:创建Amazon SQS队列

  1. 登录到AWS管理控制台。
  2. 转到简单的队列服务控制台,然后单击创建新队列按钮。
  3. 在这一点创建新队列页,检查是否选择了正确的区域,并在队列名称场地。
  4. 选择要创建的队列类型,这将确定消息的顺序和传递:标准或先进先出(FIFO)。
  5. 点击快速创造使用默认参数创建队列。

您的新队列将从队列列表中提供,您可以订阅为您指定的SNS主题。

第2步:将Amazon SQS队列订阅到SNS主题

  1. 登录您的AWS管理控制台并转到简单的队列服务控制台。
  2. 从队列列表中,选择要订阅SNS主题的队列。
  3. 点击队列操作下拉点和选择订阅队列到SNS主题从菜单。
  4. 来自订阅主题窗口中,单击选择一个主题下拉列表并选择您要订阅的6. SNS主题。确保您选择为您所指定的主题。
  5. 为主题订阅队列。

创建并配置IAM Policy和角色

通过附加到IAM Identities或AWS资源的IAM策略管理到AWS。IAM策略定义身份的权限,如角色或用户或AWS资源。这些策略用于评估是否允许或拒绝请求。

要为SNS主题和SQS队列提供帐户访问和权限,您需要:

  1. 创建您的IAM政策。
  2. 创建您的IAM角色。

步骤1:创建IAM policy

  1. 登录您的AWS管理控制台,并进入我是控制台。
  2. 从左侧菜单中,选择政策并选择创建政策
  3. 设置一个策略,向之前设置的SQS队列和创建用于存储CloudTrail日志的Amazon S3桶授予权限。
  4. 配置S3权限列表
  5. 配置SQS队列权限列表, 和
  6. 创建策略。

现在您已准备好创建IAM角色并将此策略附加到它。

步骤2:创建IAM角色

  1. 登录您的AWS管理控制台,并进入我是控制台。
  2. 从左侧菜单中,选择角色并选择创建角色
  3. 当。。。的时候创建角色页面出现时,选择另一种AWS帐户角色类型选项为您的可信实体类型。
  4. 输入要授予对资源的访问的帐户ID。
  5. 点击下一步:权限.在这一点权限部分,附上您之前创建的IAM策略。
  6. 点击下一个:审查.在这一点审查部分,输入角色的名称和描述。您还将看到该策略附加到角色。
  7. 创建角色。它将在角色表中列出。
  8. 从角色表中,查找并单击您刚刚创建的角色以打开概括页面。
  9. 去吧信任关系标签并单击编辑信任关系
  10. 在信任关系策略文档中,您需要更新主元素中的AWS帐户以包括以下RAPID7 ID:336818582268.您的政策文件可能如下所示:
         
1
2
“版本”:“2012-10-17”,
3.
“声明”:{
4
“效果”:“允许”,
5
“校长”:{“AWS”:[
6
“ARN:AWS:IAM :: 336818582268:root”,
7
)},
8
“行动”:“sts: AssumeRole”
9
10.
  1. 来自信任关系选项卡,您还需要设置作为额外身份验证层的外部ID。选择需要外部ID选择。外部ID可以是任何单词或数字。从Insigrops设置集成时,您只需记住它。
  2. 应用您的更改。

使用Insigrops设置CloudTrail集成时,您将需要您创建的IAM角色的名称。

在insighttops中添加CloudTrail集成

  1. 登录Insightops。
  2. 从左侧菜单中,选择数据收集
  3. 当。。。的时候添加数据来源出现页面,单击CloudTrail集成
  4. 点击添加新集成按钮。
  5. 当。。。的时候AWS CloudTrail面板出现时,输入集成的名称和描述。点击下一个接着说。
  6. 日志部分,选择要用于查看CloudTrail日志的目标日志和日志集。点击下一个接着说。
  7. 在AWS部分下,输入以下信息:
    • AWS帐户ID- 要找到您的帐户ID,请登录AWS管理控制台并转到IAM控制台。
    • SQS队列URL.-要找到您的SQS队列URL,请登录AWS管理控制台,然后进入简单队列服务控制台。你可以在细节标签。
    • IAM角色名称- 要查找可用的IAM角色列表,请登录AWS管理控制台并转到IAM控制台。从左侧菜单中,选择角色.生成的表将显示可用的所有角色。
    • IAM角色外部ID- 外部ID指定Insightops可以假设的角色。您可以在信任关系策略文档中找到外部ID。格式将是:“STS”:“USERPLEID”。
  8. 创建集成。

成功添加集成后,您将看到它列在添加数据来源页面。您将能够选择它作为发送数据的源。