Konfigurieren von AWS (CloudTrail)-Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie das AWS-Sammlungsprotokoll konfigurieren, das Ereignisse von Amazon Web Services (AWS) CloudTrail sammelt.

Hinweis: Das AWS-Plug-in ist ausschließlich für die Erfassung von AWS CloudTrail-Protokollen gedacht und nicht für die Erfassung aus beliebigen Protokollen in S3-Buckets (unter willkürlichen Verzeichnisse). Die AWS CloudTrail-Protokolle werden im JSON-Format gesendet, wie unter folgendem Link in der AWS-Dokumentation beschrieben: http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html.

Funktionsweise der AWS-Sammlung

Der Log Collector-Service sammelt Ereignisse von Amazon Web Services (AWS) CloudTrail. CloudTrail zeichnet AWS-API-Aufrufe für ein Konto auf. Die Ereignisse enthalten die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anforderungsparameter und die vom AWS-Service zurückgegebenen Antwortelemente. Die durch CloudTrail-Ereignisse bereitgestellte AWS-API-Aufrufhistorie ermöglicht Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Compliance-Audits. CloudTrail verwendet Amazon S3 zur Speicherung und Bereitstellung von Protokolldateien. NetWitness Suite kopiert die Protokolldateien aus der Cloud (S3-Bucket) und sendet die in den Dateien enthaltenen Ereignisse an den Log Collector.

Bereitstellungsszenario

Die folgende Abbildung zeigt die Bereitstellung des AWS-Sammlungsprotokolls in NetWitness Suite.

Diagram shows AWS (CloudTrail) sending events to the local and remote collectors.

Konfiguration

So konfigurieren Sie eine AWS (CloudTrail)-Ereignisquelle:

  1. Navigieren Sie im Menü NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources tab is displayed.

  1. Wählen Sie in der Registerkarte Ereignisquellen im Drop-down-Menü die Option Plug-ins/Konfigurieren aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld Verfügbare Ereignisquelltypen wird angezeigt.

  3. Wählen Sie cloudtrail aus und klicken Sie auf OK.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste Quellen.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Definieren Sie die Parameterwerte. Weitere Informationen finden Sie unten stehend unter Konfigurieren der AWS (CloudTrail)-Ereignisquellen in NetWitness Suite.
  6. Klicken Sie auf Verbindung testen.

    Das Ergebnis des Tests wird im Dialogfeld angezeigt. Wenn der Test nicht erfolgreich ist, bearbeiten Sie die Geräte- oder Serviceinformationen und versuchen Sie es erneut.

    Log Collector braucht etwa 60 Sekunden, um die Testergebnisse zurückzugeben. Wenn das Zeitlimit überschritten wird, wird der Test abgebrochen und NetWitness Suite zeigt eine Fehlermeldung an.

  7. Wenn der Test erfolgreich ist, klicken Sie auf OK.

    Die neue Ereignisquelle wird im Bereich Quellen angezeigt.

AWS-Parameter

In der folgenden Tabelle werden die verfügbaren Konfigurationsparameter für die AWS-Sammlung beschrieben.

                                                                                                             
ParameterBeschreibung
ParameterBeschreibung
Basis
Name*Name der Ereignisquelle
Aktiviert Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
Konto-ID*Kontoidentifikationscode des S3 Bucket
S3 Bucketname*

Name des AWS (CloudTrail) S3 Bucket

Die Namen von Amazon S3 Buckets sind global eindeutig, unabhängig von der AWS (CloudTrail)-Region, in der der Bucket erstellt wurde. Sie geben den Namen zum Zeitpunkt der Erstellung des Bucket an.

Bucket-Namen müssen die DNS-Benennungskonventionen einhalten. Die Regeln für DNS-konforme Bucket-Namen lauten:

  • Bucket-Namen müssen zwischen 3 und 63 Zeichen lang sein.
  • Bucket-Namen müssen eine Folge aus einer oder mehreren Bezeichnungen sein. Aneinander grenzende Bezeichnungen werden durch einen einzelnen Punkt getrennt „.“. Bucket-Namen dürfen Kleinbuchstaben, Zahlen und Bindestriche enthalten. Jede Bezeichnung muss mit einem Kleinbuchstaben oder einer Zahl beginnen und enden.
  • Bucket-Namen dürfen nicht wie eine IP-Adresse formatiert sein (z. B. 192.168.5.4).

Die folgenden Beispiele sind gültige Bucket-Namen:

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

Die folgenden Beispiele sind ungültige Bucket-Namen:

  • .myawsbucket – Bucket-Namen dürfen nicht mit einem Punkt „.“ beginnen.
  • myawsbucket. – Bucket-Namen dürfen nicht mit einem Punkt „.“ enden.
  • my..examplebucket – Zwischen Bezeichnungen darf nur ein Punkt stehen.
Zugangsschlüssel*

Schlüssel für den Zugriff auf den S3 Bucket. Zugriffsschlüssel werden für sichere REST- oder Abfrageprotokollanforderungen an die AWS-Service API verwendet.  Weitere Informationen zu Zugriffsschlüsseln erhalten Sie auf der Amazon Web Services-Support-Website unter Manage User Credentials.

Geheimer Schlüssel*Geheimer Schlüssel für den Zugriff auf den S3 Bucket
Region*Region des S3-Bucket. us-east-1 ist der Standardwert.
Region-Endpunkt

Gibt den AWS CloudTrail-Hostnamen an.

Zum Beispiel wäre für eine AWS-Public-Cloud für die Region „us-east“ der Region-Endpunkt „s3.amazonaws.com“. Weitere Informationen finden Sie unter http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region. Dieser Parameter ist erforderlich, um CloudTrail-Protokolle von AWS-Government- oder Private-Clouds zu sammeln.

Proxy verwenden

Aktivieren Sie Proxy verwenden, um den Proxy für AWS-Server festzulegen. Diese Option ist standardmäßig deaktiviert.

Proxyserver

Geben Sie den Namen des Proxys ein, mit dem Sie eine Verbindung für den Zugriff auf den AWS-Server herstellen möchten.

Proxyport

Geben Sie die Portnummer ein, die sich mit dem Proxyserver verbindet, um auf den

AWS-Server zuzugreifen.

Proxy-Benutzer

Geben Sie den Benutzername zur Authentifizierung mit dem Proxyserver ein.

Proxypasswort

Geben Sie das Passwort zur Authentifizierung beim Proxyport ein.

Startdatum* Startet die AWS (CloudTrail)-Sammlung von der angegebenen Anzahl Tagen in der Vergangenheit, gemessen vom aktuellen Zeitstempel. Der Standardwert ist 0, also beginnend ab heute. Der Bereich ist 0 bis 89 Tage.
Protokolldateipräfix

Präfix der zu verarbeitenden Datei

Hinweis: Wenn Sie bei der Einrichtung des CloudTrail-Service ein Präfix festlegen, müssen Sie in diesem Parameter dasselbe Präfix eingeben.

Erweitert
Debug

Achtung: Aktivieren Sie nur dann das Debuggen (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

BefehlsargumenteArgumente, die dem Skript hinzugefügt wurden
Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 60.

Wenn Sie beispielsweise 60 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 60 Sekunden. Wenn der vorherige Abfragezyklus noch ausgeführt wird, wird gewartet, bis dieser Zyklus abgeschlossen ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 60 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

SSL aktiviert

Aktivieren Sie für die Kommunikation per SSL das Kontrollkästchen. Die Sicherheit der Datenübertragung erfolgt durch Verschlüsselung von Informationen und die Bereitstellung von Verfahren zur Authentifizierung mit SSL-Zertifikaten.

Das Kontrollkästchen ist standardmäßig aktiviert.

Verbindung testen

Überprüft, ob die in diesem Dialogfeld angegebenen Konfigurationsparameter korrekt sind.  Mit dem folgenden Test wird beispielsweise überprüft, ob:

  • NetWitness mithilfe der in diesem Dialogfeld angegebenen Anmeldedaten eine Verbindung zu dem S3-Bucket in AWS herstellen kann.
  • NetWitness eine Protokolldatei von dem Bucket herunterladen kann. (Der Verbindungstest würde fehlschlagen, wenn keine Protokolldateien für den gesamten Bucket vorhanden wären. Dies wäre aber sehr unwahrscheinlich.)
AbbrechenDas Dialogfeld wird ohne Hinzufügen des AWS (CloudTrail) geschlossen.
OKFügt die aktuellen Parameterwerte als neuen AWS (CloudTrail) hinzu.
Previous Topic:Sammlungsprotokolle
You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von AWS (CloudTrail)-Ereignisquellen

Attachments

    Outcomes