Collecte AWS (CloudTrail) : Paramètres de configuration

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit les paramètres de configuration des sources d'événements AWS (CloudTrail).

Pour accéder aux paramètres de configuration de la collecte AWS :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Plugins/Config dans le menu déroulant.

AddAWSSrc3.PNG

La vue Plugins/Config sous l'onglet Sources d'événements contient deux panneaux : Catégories et sources d'événements

Panneau Catégories d'événements

Le panneau Catégories d'événements permet d'ajouter ou de supprimer les types de sources d'événements appropriées.

                         
FonctionnalitéDescription
Icon-Add.png Affiche la boîte de dialogue Types de sources d'événements disponibles qui permet de sélectionner le type de source d'événement pour lequel vous souhaitez définir les paramètres.
Icon_Delete_sm.png Supprime les types de sources d'événements sélectionnés à partir du panneau Catégories d'événements.
Checkbox.png Sélectionne les types de sources d'événements.
NameAffiche le nom des types de sources d'événements que vous avez ajoutés.

Boîte de dialogue Types de sources d'événements disponibles

La boîte de dialogue Types de sources d'événements disponibles affiche la liste des types de sources d'événements pris en charge.

                         
FonctionnalitéDescription
Checkbox.png Sélectionne le type de source d'événement que vous souhaitez ajouter.
TypeAffiche les types de sources d'événements qui sont disponibles à l'ajout.
AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute le type de source d'événement sélectionné dans le panneau Catégories d'événements.

Panneau Sources

Le panneau Sources d'AWS (CloudTrail) affiche une liste de sources d'événements de pare-feu AWS (CloudTrail) existantes. Utilisez cette section pour ajouter ou supprimer les sources d'événements et les paramètres de communication associés.

Barre d’outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                                    
FonctionnalitéDescription :
Icon-Add.png Affiche la boîte de dialogue Ajouter une source dans laquelle vous définissez les paramètres pour un hôte Pare-feu AWS (CloudTrail).
Icon_Delete_sm.png Supprime l'hôte que vous avez sélectionné.
icon-edit.png

Ouvre la boîte de dialogue Modifier la source permettant de modifier les paramètres pour la source d'événements AWS (CloudTrail) sélectionnée.

Sélectionnez plusieurs sources d'événements, puis cliquez sur icon-edit.png pour ouvrir la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage des sources d'événements sélectionnées.

Reportez-vous au Guide de Configuration de Log Collection pour connaître les étapes à suivre pour importer, exporter et modifier des sources d'événements en bloc.

ImportSourceIcon.PNG

Ouvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc des hôtes AWS (CloudTrail) contenus dans un fichier CSV.

Reportez-vous au Guide de Configuration de Log Collection pour connaître les étapes à suivre pour importer, exporter et modifier des sources d'événements en bloc.

ExportSourceIcon.PNG

Crée un fichier .csv contenant les paramètres des hôtes AWS (CloudTrail) sélectionnés.

Reportez-vous au Guide de Configuration de Log Collection pour connaître les étapes à suivre pour importer, exporter et modifier des sources d'événements en bloc.

testConnection.PNG Valide les paramètres de configuration pour les hôtes de Pare-feu AWS (CloudTrail). 

Reportez-vous au Guide de configuration de Log Collection pour obtenir des instructions détaillées sur la façon de tester les connexions de sources d'événements en bloc.

Boîte de dialogue Ajouter ou modifier la source

Les boîtes de dialogue Ajouter une source et Modifier la source contiennent les mêmes informations.

Valide la connexion à l'adresse de la source d'événement.

                                                                                     
ParamètreDescription :
ParamètreDescription :
Basique
Nom *Nom de la source d'événement.
Activé Checkbox.pngCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
ID de compte *Code d'identification de compte du Bucket S3
Nom de compartiment S3 *

Nom de compartiment S3 AWS (CloudTrail).

Les noms de Buckets S3 Amazon sont globalement uniques, quelle que soit la région AWS (CloudTrail) dans laquelle vous créez le bucket. Vous spécifiez le nom au moment de la création du bucket.

Les noms de buckets doivent se conformer aux conventions de dénomination DNS. Les règles pour les noms de bucket compatibles DNS sont les suivantes :

  • Les noms de bucket doivent comprendre entre 3 et 63 caractères.
  • Les noms de bucket doivent être une série d'un ou de plusieurs libellés. Les libellés adjacents sont séparés par un seul point « . ». Les noms de buckets contiennent des lettres minuscules, des chiffres et des tirets. Chaque libellé doit commencer et se terminer par une lettre minuscule ou un chiffre.
  • Les noms de buckets ne doivent pas être formatés comme une adresse IP (par exemple, 192.168.5.4).

Les exemples suivants sont des noms de buckets valides :

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

Les exemples suivants sont des noms de buckets non valides :

  • .myawsbucket  -   Un nom de bucket ne doit pas commencer par un point « . ».
  • myawsbucket. - Ne pas terminer un nom de bucket par un point « . ».
  • my..examplebucket - N'utilisez qu'un seul point entre les libellés.
Clé d'accès *Clé utilisée pour accéder au bucket S3. Les clés d'accès sont utilisées pour garantir la sécurité de requêtes de protocole REST ou Requête sur n'importe quelle API de service AWS.  Veuillez vous reporter à Gérer les informations d'identification sur le site de support Amazon Web Services pour plus d'informations sur les clés d'accès.
Clé secrète *Clé secrète utilisée pour accéder au bucket S3.
Région *Région du bucket S3. us-east-1 est la valeur par défaut.
Date de début *L'heure et la date de début lorsque la collection AWS (CloudTrail) est démarrée pour la première fois.
Préfixe de fichier log

Le préfixe des fichiers à traiter.

Remarque : Si vous définissez un préfixe lorsque vous configurez votre service CloudTrail, assurez-vous de saisir le même préfixe dans ce paramètre.

Avancé 
Debug

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active/désactive la consignation du débogage pour la source d'événement.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

Arguments de commandeArguments ajoutés au script.
Intervalle d'interrogationIntervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 60.

Par exemple, si vous spécifiez 60, le collecteur planifie une interrogation de la source d'événement toutes les 60 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 60 secondes avant de démarrer car les threads sont occupés.
SSL Enabled Checkbox.png

Cochez la case permettant de communiquer en utilisant SSL. La sécurité de la transmission des données est gérée par le chiffrement des informations et l'authentification avec les certificats SSL.

Cette case à cocher est activée par défaut.

Tester la connexionValide que les paramètres de configuration spécifiés dans cette boîte de dialogue sont corrects.  Par exemple, ce test valide les points suivants :
  • Security Analytics peut se connecter au Bucket S3 dans AWS en utilisant les informations d'identification spécifiées dans cette boîte de dialogue.
  • Security Analytics peut télécharger un fichier log depuis le bucket (la connexion test échouera s'il n'y a pas de fichiers logs pour l'ensemble du bucket, mais cela est extrêmement improbable).
AnnulerFerme la boîte de dialogue sans ajouter l'AWS (CloudTrail).
OKAjoute les valeurs de paramétrage actuelles en tant que nouvel AWS (CloudTrail).

Tâches

Étape 1. Configurer des sources d'événements AWS (CloudTrail) dans Security Analytics

You are here
Table of Contents > Guide de configuration de la collecte AWS (CloudTrail > Références - Paramètres de configuration de la collecte AWS (CloudTrail

Attachments

    Outcomes