Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=CloudTrailSNS

Intégrer un CloudTrail AWS existant

Vous devez avoir un pack de licence d’intégration « Public Cloud » pour utiliser cette fonction.

Si vous souhaitez intégrer un cloudTrail AWS existant à Sophos Central, veuillez d’abord le configurer.

Pour vérifier et configurer votre journal d’activité, procédez de la manière suivante :

Vérifier le journal d’activité

  1. Dans AWS, accédez à votre tableau de bord CloudTrail et copiez le nom de votre compartiment d’exportation.

    Cette option permet de configurer la rubrique SNS et est utilisée ultérieurement dans Sophos Central.

  2. Vous pouvez également copier le préfixe de compartiment S3 pour l’utiliser ultérieurement. Les préfixes de compartiment sont disponibles en option.

    Retrouvez plus de renseignements sur les préfixes de compartiment S3 aux étapes de création d’un compartiment dans l’aide d’Amazon. Voir Création d’un journal d’activité.

    La capture d’écran suivante montre comment sélectionner le nom et le préfixe de compartiment.

    Capture d’écran montrant les sections de l’emplacement CloudTrail à copier pour le nom et le préfixe de compartiment.

Configurer la rubrique SNS et la stratégie d’accès

  1. Dans AWS, créez une rubrique SNS dans la même région où votre compartiment S3 est utilisé pour exporter CloudTrail ou pour modifier une rubrique SNS existante.
  2. Copiez le nom de cette rubrique SNS.

  3. Dans l’éditeur JSON, spécifiez la stratégie d’accès de la manière suivante :

    1. Remplacez la valeur Resource par l’ARN SNS que vous utilisez.

    2. Remplacez le nom du compartiment dans Condition par le nom du compartiment CloudTrail que vous avez copié précédemment.

      La capture d’écran suivante montre un éditeur JSON de rubrique SNS avec les lignes à personnaliser.

      Capture d’écran montrant l’éditeur JSON de rubrique SNS avec des lignes à personnaliser.

      Dans AWS, la stratégie d’accès est affichée comme facultative, mais elle n’est pas facultative dans Sophos Central. Vous devez configurer les notifications de compartiment S3.

  4. Enregistrez la rubrique SNS.

Configurer les notifications de compartiment S3

  1. Dans AWS, accédez à votre compartiment S3.
  2. Pour configurer un nouvel événement de notification, sélectionnez Propriétés > Événements > Ajouter une notification.
  3. Vérifiez qu’aucune notification n’est définie sur les événements de création CloudTrail.
  4. Saisissez le nom de l’événement de notification.
  5. Sélectionnez Tous les événements de création d’objet.
  6. Saisissez : json.gz comme Valeur de suffixe.

  7. Pour créer votre Valeur de préfixe, saisissez le préfixe de compartiment que vous avez copié précédemment, puis /AWSLogs/, puis votre ID de compte, puis /CloudTrail/.

    Utilisez le format suivant : <Bucket prefix>/AWSLogs/<AccountId>/Cloudtrail/

    Si vous utilisez un CloudTrail géré par AWS Organizations ou si vous exportez des CloudTrail depuis plusieurs comptes vers un seul compte, vous devez créer un événement distinct pour chaque ID de compte.

  8. Définissez Envoyer à sur SNS et utilisez le nom de la rubrique SNS que vous avez créée précédemment.

    La capture d’écran suivante présente les paramètres du menu Événements.

    Capture d’écran montrant les paramètres du menu Événements.

  9. Cliquez sur Enregistrer.

    Les notifications de réussite apparaissent désormais dans les propriétés de votre compartiment S3.

Accédez à Sophos Central et poursuivez l’intégration de AWS CloudTrail.