Configurar orígenes de eventos de AWS (CloudTrail)

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo configurar el protocolo de recopilación de AWS, el cual recopila eventos de Amazon Web Services (AWS) CloudTrail.

Nota: El plug-in de AWS está diseñado únicamente para la recopilación desde registros de AWS CloudTrail y no para la recopilación desde registros arbitrarios en depósitos S3 (en directorios arbitrarios). Los registros de AWS CloudTrail se envían en formato JSON, como se describe en la documentación de AWS que se encuentra en la siguiente dirección: http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html.

Cómo funciona la recopilación de AWS

El servicio Log Collector recopila eventos de Amazon Web Services (AWS) CloudTrail. CloudTrail registra llamadas API de AWS para una cuenta. Los eventos contienen la identidad del llamador de la API, la hora de la llamada API, la dirección IP de origen del llamador de la API, los parámetros de la solicitud y los elementos de respuesta que devolvió el servicio AWS. El historial de llamadas API de AWS que proporcionan los eventos de CloudTrail permite el análisis de seguridad, el rastreo del cambio de recursos y la auditoría del cumplimiento de normas. CloudTrail usa Amazon S3 para el almacenamiento y la distribución de archivos de registro. NetWitness Suite copia los archivos de registro desde la nube (depósito S3) y envía los eventos incluidos en los archivos a Log Collector.

Escenario de implementación

En la siguiente figura se ilustra cómo debe implementar el protocolo de recopilación de AWS en NetWitness Suite.

Diagram shows AWS (CloudTrail) sending events to the local and remote collectors.

Configuración

Para configurar un origen de eventos de AWS (CloudTrail):

  1. Vaya a ADMINISTRAR > Servicios en el menú de NetWitness Suite.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

    Event Sources tab is displayed.

  1. En la pestaña Orígenes de eventos, seleccione Plug-ins/Configuración en el menú desplegable.
  2. En la barra de herramientas del panel Categorías de evento, haga clic en .

    Se muestra el cuadro de diálogo Tipos de origen de evento disponibles.

  3. Seleccione cloudtrail y haga clic en Aceptar.

    El tipo de origen de eventos recién agregado se muestra en el panel Categorías de evento.

  4. Seleccione el nuevo tipo en el panel Categorías de evento y haga clic en  en la barra de herramientas Orígenes.

    Se muestra el cuadro de diálogo Agregar origen.

  5. Definir valores de parámetros. Para obtener más información, consulte Configurar orígenes de eventos de AWS (CloudTrail) en NetWitness Suite a continuación.
  6. Haga clic en Probar conexión.

    El resultado de la prueba se muestra en el cuadro de diálogo. Si el resultado de la prueba no fue satisfactorio, edite la información del dispositivo o del servicio e inténtelo nuevamente.

    Log Collector tarda aproximadamente 60 segundos en devolver los resultados de la prueba. Si se supera el límite de tiempo, se agota el tiempo de espera de la prueba y NetWitness Suite muestra un mensaje de error.

  7. Si la prueba se ejecuta correctamente, haga clic en Aceptar.

    El nuevo origen de eventos se muestra en el panel Orígenes.

Parámetros de AWS

En la siguiente tabla se describen los parámetros de configuración disponibles para la recopilación de AWS.

                                                                                                             
ParámetroDescripción
ParámetroDescripción
Básico
Nombre *Nombre del origen de eventos.
Habilitado Seleccione la casilla de verificación para habilitar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.
ID de cuenta *Código de identificación de la cuenta del depósito S3
Nombre de depósito S3 *

Nombre del depósito S3 de AWS (CloudTrail).

Los nombres del depósito Amazon S3 son únicos globalmente, sin importar la región de AWS (CloudTrail) en la cual se crea el depósito. El nombre se especifica en el momento en que se crea el depósito.

Los nombres de depósito deben cumplir con las convenciones de asignación de nombres de DNS. Las reglas para nombres de depósito que cumplen con DNS son:

  • Los nombres de depósito deben tener por lo menos tres caracteres de largo y no más de 63.
  • Los nombres de depósito deben ser una serie de una o más etiquetas. Las etiquetas adyacentes se separan mediante un único punto “.”. Los nombres de depósito pueden incluir letras en minúscula, números y guiones. Cada etiqueta debe comenzar y terminar con una letra en minúscula o un número.
  • Los nombres de depósito no deben tener el formato de una dirección IP (por ejemplo, 192.168.5.4).

Los siguientes ejemplos son nombres de depósito válidos:

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

Los siguientes ejemplos son nombres de depósito no válidos:

  • .myawsbucket: un nombre de depósito no debe comenzar con un punto “.”.
  • myawsbucket. : un nombre de depósito no debe terminar con un punto “.”.
  • my..examplebucket: solo se debe usar un punto entre las etiquetas.
Clave de acceso *

Clave que se usa para acceder al depósito S3. Las claves de acceso se usan para realizar solicitudes del protocolo REST o de consulta seguras a cualquier API del servicio AWS.  Consulte Manage User Credentials en el sitio de soporte de Amazon Web Services para obtener más información sobre las claves de acceso.

Clave secreta *Clave secreta que se usa para acceder al depósito S3.
Región *Región del depósito S3. us-east-1 es el valor predeterminado.
Terminal de región

Especifica el nombre de host de AWS CloudTrail.

Por ejemplo, para una nube pública de AWS para la región este de EE. UU., el Terminal de región sería s3.amazonaws.com. Encontrará más información en http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region. Este parámetro es necesario para recopilar registros CloudTrail de nubes gubernamentales o privadas de AWS.

Usar proxy

Habilite Usar proxy para configurar el proxy para el servidor de AWS. De manera predeterminada, está deshabilitada.

Servidor proxy

Ingrese el nombre de proxy que desea conectar para acceder al servidor de AWS.

Puerto de proxy

Ingrese el número de puerto que se conecta al servidor proxy para acceder al servidor de

AWS.

Usuario de proxy

Ingrese el nombre de usuario para autenticar con el servidor proxy.

Contraseña de proxy

Ingrese la contraseña para autenticarse con el puerto de proxy.

Fecha de inicio * Inicia la recopilación de AWS (CloudTrail) a partir de la cantidad especificada de días en el pasado, que se miden a contar del registro de fecha y hora actual. El valor predeterminado es 0, que se inicia a partir de hoy. El rango es de 0 a 89 días.
Prefijo de archivo de log

Prefijo de los archivos que se procesarán.

Nota: Si estableció un prefijo cuando configuró el servicio CloudTrail, asegúrese de ingresar el mismo prefijo en este parámetro.

Opciones avanzadas
Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Habilita o deshabilita el registro de depuración del origen de eventos.

Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

Argumentos de comandoArgumentos que se agregan al script.
Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 60.

Por ejemplo, si especifica 60, el recopilador programa un sondeo del origen de eventos cada 60 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 60 segundos en comenzar porque los subprocesos están ocupados.

SSL habilitado

Seleccione la casilla de verificación para establecer la comunicación mediante SSL. La seguridad de la transmisión de datos se administra mediante el cifrado de la información y el suministro de autenticación con certificados SSL.

La casilla de verificación está seleccionada de manera predeterminada.

Probar conexión

Valida que los parámetros de configuración especificados en este cuadro de diálogo estén correctos.  Por ejemplo, esta prueba valida que:

  • NetWitness se pueda conectar al depósito S3 en AWS con el uso de las credenciales especificadas en este cuadro de diálogo.
  • NetWitness pueda descargar un archivo de registro desde el depósito (la conexión de prueba fallaría si no hubiera archivos de registro para todo el depósito, pero esto sería extremadamente improbable).
CancelarCierra el cuadro de diálogo sin agregar el origen de eventos AWS (CloudTrail).
AceptarAgrega los valores de los parámetros actuales como un nuevo origen de eventos AWS (CloudTrail).
You are here
Table of Contents > Protocolos de recopilación > Configurar orígenes de eventos de AWS (CloudTrail)

Attachments

    Outcomes