Configurer des sources d'événements AWS (CloudTrail)

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment configurer le protocole de collecte AWS qui permet de collecter les événements d'Amazon Web Services (AWS) CloudTrail.

Remarque : Le plug-in AWS est destiné uniquement pour la collecte des logs AWS CloudTrail et non pour la collecte des logs arbitraires dans les buckets S3 (sous les répertoires arbitraires). Les logs AWS CloudTrail sont envoyés au format JSON, comme indiqué dans la documentation AWS ici : http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html.

Fonctionnement de la collecte AWS

Le service Log Collector collecte des événements à partir d'Amazon Web Services (AWS) CloudTrail. CloudTrail enregistre les appels API AWS pour un compte. Les événements renferment l'identité de l'appelant API, l'heure de l'appel, l'adresse IP de la source de l'appelant API, les paramètres de demande, et les éléments de réponse renvoyés par le service AWS. L'historique des appels API AWS fourni par les événements CloudTrail vous permet d'analyser la sécurité, de faire le suivi des modifications de ressources et de vérifier la conformité. CloudTrail utilise Amazon S3 pour le stockage de fichiers log et la livraison. NetWitness Suite copie les fichiers log à partir du cloud (bucket S3) et envoie les événements contenus dans les fichiers à Log Collector.

Scénario de déploiement

La figure suivante illustre comment déployer le protocole de collecte AWS dans NetWitness Suite.

Diagram shows AWS (CloudTrail) sending events to the local and remote collectors.

Configuration

Pour configurer une source d'événements AWS (CloudTrail) :

  1. Accédez à ADMIN > Services à partir du menu NetWitness Suite.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, puis sélectionnez > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

    Event Sources tab is displayed.

  1. Sous l'onglet Sources d'événements, sélectionnez Plug-ins/Config dans le menu déroulant.
  2. Dans la barre d'outils du panneau Catégories d'événements , cliquez sur .

    La boîte de dialogue Types de sources d'événements disponibles s'affiche.

  3. Sélectionnez cloudtrail, puis cliquez sur OK.

    Le type de source d'événement nouvellement ajouté s'affiche dans le panneau Catégories d'événements.

  4. Sélectionnez le nouveau type dans le panneau Catégories d'événements, puis cliquez sur dans la barre d'outils Sources.

    La boîte de dialogue Ajouter une source s'affiche.

  5. Définissez des valeurs de paramètre. Pour plus d'informations, reportez-vous à la section Configurer des sources d'événements AWS (CloudTrail) dans NetWitness Suite ci-dessous.
  6. Cliquez sur Tester la connexion.

    Le résultat du test s'affiche dans la boîte de dialogue. Si le test échoue, modifiez les informations de l'appareil ou du service et réessayez.

    Le Log Collector prend environ 60 secondes pour renvoyer les résultats du test. Au-delà de ce délai, le test expire et NetWitness Suite affiche un message d'erreur.

  7. Si le test aboutit, cliquez sur OK.

    La nouvelle source d'événement s'affiche dans le panneau Sources.

Paramètres AWS

Le tableau ci-dessous décrit les paramètres de configuration disponibles pour la collecte AWS.

                                                                                                             
ParamètreDescription
ParamètreDescription
Basique
Nom *Nom de la source d'événement.
ActivéCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.
ID de compte *Code d'identification de compte du Bucket S3
Nom de compartiment S3 *

Nom de compartiment S3 AWS (CloudTrail).

Les noms de Buckets S3 Amazon sont globalement uniques, quelle que soit la région AWS (CloudTrail) dans laquelle vous créez le bucket. Vous spécifiez le nom au moment de la création du bucket.

Les noms de buckets doivent se conformer aux conventions de dénomination DNS. Les règles pour les noms de bucket compatibles DNS sont les suivantes :

  • Les noms de bucket doivent comprendre entre 3 et 63 caractères.
  • Les noms de bucket doivent être une série d'un ou de plusieurs libellés. Les libellés adjacents sont séparés par un seul point « . ». Les noms de buckets contiennent des lettres minuscules, des chiffres et des tirets. Chaque libellé doit commencer et se terminer par une lettre minuscule ou un chiffre.
  • Les noms de buckets ne doivent pas être formatés comme une adresse IP (par exemple, 192.168.5.4).

Les exemples suivants sont des noms de buckets valides :

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

Les exemples suivants sont des noms de buckets non valides :

  • .myawsbucket  -   Un nom de bucket ne doit pas commencer par un point « . ».
  • myawsbucket. - Ne pas terminer un nom de bucket par un point « . ».
  • my..examplebucket - N'utilisez qu'un seul point entre les libellés.
Clé d'accès *

Clé utilisée pour accéder au bucket S3. Les clés d'accès sont utilisées pour garantir la sécurité de requêtes de protocole REST ou Requête sur n'importe quelle API de service AWS.  Veuillez vous reporter à Gérer les informations d'identification sur le site de support Amazon Web Services pour plus d'informations sur les clés d'accès.

Clé secrète *Clé secrète utilisée pour accéder au bucket S3.
Région *Région du bucket S3. us-east-1 est la valeur par défaut.
Point de terminaison de la région

Spécifie le nom d'hôte CloudTrail AWS.

Par exemple, pour un Cloud public AWS pour la région us-east, le point de terminaison de la région serait s3.amazonaws.com. Pour plus d'informations , vous référez à http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region. Ce paramètre est nécessaire pour collecter les logs de CloudTrail à partir de Clouds AWS administratifs ou privés.

Utiliser le proxy

Activer Utiliser le proxy pour définir le proxy du serveur AWS. Il est désactivé par défaut,.

Serveur proxy

Saisissez le nom de proxy que vous souhaitez connecter pour accéder au serveur AWS.

Port proxy

Saisissez le numéro de port qui se connecte au serveur proxy pour accéder à serveur

AWS.

Utilisateur proxy

Saisissez le nom d'utilisateur permettant de s'authentifier auprès du serveur proxy.

Mot de passe du proxy

Saisissez le mot de passe permettant de s'authentifier auprès du port proxy.

Date de début * Démarre la collecte AWS (CloudTrail) depuis le nombre de jours spécifié dans le passé, mesuré à partir de l'horodatage actuel. La valeur par défaut est 0, ce qui démarre à partir d'aujourd'hui. La valeur est comprise entre 0 et 89 jours.
Préfixe de fichier log

Le préfixe des fichiers à traiter.

Remarque : Si vous définissez un préfixe lorsque vous configurez votre service CloudTrail, assurez-vous de saisir le même préfixe dans ce paramètre.

Avancé 
Débogage

Attention : n'activez le débogage (paramètre défini sur On ou Verbose) que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

Arguments de commandeArguments ajoutés au script.
Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 60.

Par exemple, si vous spécifiez 60, le collecteur planifie une interrogation de la source d'événement toutes les 60 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 60 secondes avant de démarrer car les threads sont occupés.

SSL activé

Cochez la case permettant de communiquer en utilisant SSL. La sécurité de la transmission des données est gérée par le chiffrement des informations et l'authentification avec les certificats SSL.

Cette case à cocher est activée par défaut.

Tester la connexion

Valide que les paramètres de configuration spécifiés dans cette boîte de dialogue sont corrects.  Par exemple, ce test valide les points suivants :

  • NetWitness peut se connecter au Bucket S3 dans AWS en utilisant les informations d'identification spécifiées dans cette boîte de dialogue.
  • NetWitness peut télécharger un fichier log depuis le bucket (la connexion test échouera s'il n'y a pas de fichiers logs pour l'ensemble du bucket, mais cela est extrêmement improbable).
Annuler Ferme la boîte de dialogue sans ajouter l'AWS (CloudTrail).
OKAjoute les valeurs de paramétrage actuelles en tant que nouvel AWS (CloudTrail).
Previous Topic:Protocole de collecte
You are here
Table of Contents > Protocole de collecte > Configurer des sources d'événements AWS (CloudTrail)

Attachments

    Outcomes