跳至主内容

AWS传感器(Control Tower配置)

AWS传感器负责收集并处理用户、角色或AWS服务执行的配置变更及操作信息。

您可将两类AWS环境与 GravityZone进行集成 XDR :

本节将指导您完成将AWS Control Tower治理环境与 XDR .

注意

有关AWS Control Tower服务的信息,请参阅 什么是AWS Control Tower? .

概述

集成过程包含多个子步骤:

先决条件

在将AWS Control Tower管理的环境与 GravityZone XDR 集成前,请确保:

  • 您拥有AWS组织内管理账户和日志归档账户的访问权限。

  • 您具备创建和管理AWS资源所需的IAM权限。

    注意

    推荐使用 AdministratorAccess 策略。

  • 管理账户和日志归档账户需属于同一Control Tower登陆区,并与该登陆区配置在相同AWS区域。

GravityZone 控制中心下载模板

要从 GravityZone 控制中心下载所需的CloudFormation模板 ,请按照以下步骤操作:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 配置 > 传感器管理 页面。

  3. 点击 新增 .

  4. 点击 下一步 .

  5. 找到 AWS 卡片并点击 集成 .

    此时将显示集成向导。

  6. 检查要求 步骤中,选择以下URL下载配置文件:

    • 管理账户模板

    • 日志归档账户模板

    • 响应操作模板 (可选,用于执行响应操作)

    根据浏览器设置,文件将自动下载或在新标签页中打开。

提示

保持登录状态 GravityZone 控制中心 ,因为在后续设置阶段您需要返回该页面。

从Control Tower控制台收集必要信息

必须从AWS Control Tower控制台获取以下信息:

  • 管理账户ID

  • 日志归档账户ID

  • 包含日志归档账户的组织单元ID

  • Amazon S3存储桶名称

按以下步骤收集信息:

  1. 登录 AWS管理控制台 使用您AWS组织的管理账户。

  2. 在控制台顶部的搜索栏中输入 Control Tower .

  3. 从结果列表中选择 Control Tower 服务。

    您将被重定向至AWS Control Tower控制台。

  4. 在左侧菜单中选择 组织 .

    您将被重定向至AWS Control Tower中的 组织 页面。有关此页面的详细信息,请参阅 使用AWS Control Tower管理组织和账户 .

  5. 定位并记录以下信息以供后续参考:

    • 管理账户ID

    • 日志归档账户ID

    • 包含日志归档账户的组织单元ID

  6. 从左侧导航窗格中选择 Landing zone设置 以在Control Tower控制台中打开对应页面。

  7. 打开 配置 标签页。

  8. AWS CloudTrail配置 部分,找到 Amazon S3存储桶 字段并记录其值以备后用。

使用管理账户模板创建CloudFormation堆栈

在此阶段,您将使用先前下载的管理账户模板。

按照 创建堆栈(控制台) 中的步骤,参考 从CloudFormation控制台创建堆栈 页面创建所需堆栈,并注意以下规范:

  • 使用管理账户登录后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部的导航栏中,选择部署了AWS Control Tower落地区的AWS区域。

  • 点击 创建堆栈 后,选择 使用新资源(标准) .

  • 创建堆栈 页面,选择 选择现有模板 ,然后 上传模板文件 .

  • 点击 选择文件 后,浏览本地计算机,选择之前下载的 bitdefender-gz-xdr-aws-control-tower-management-account.yaml 文件,然后点击 打开 .

  • 指定堆栈详细信息 页面的 参数 部分,输入之前记录的日志归档账户ID和存储桶名称。

    重要提示

    建议保留其余字段的默认值。若需自定义,请务必记录以便后续使用。

  • 配置堆栈选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。建议其他设置保持默认。

当跳转至新堆栈的 事件 选项卡后,请等待状态变为 创建完成 .

创建IAM访问密钥

要为AWS传感器创建访问密钥以安全连接到您的AWS环境,请按以下步骤操作:

  1. 在CloudFormation控制台的左侧菜单中,选择 导出 以跳转至 导出 页面。

  2. 请安全保存以下导出值: GravityZoneXDRSQS队列URLGravityZoneXDRSQS队列ARN ,后续步骤将需要这些信息。

  3. 点击 GravityZoneXDR服务用户URL 的导出值。

    您将被重定向至IAM 选择您的AWS会话 页面。

  4. 选择您管理账户的ID。

    您将被重定向至IAM 创建访问密钥 > 访问密钥最佳实践与替代方案 页面。

  5. 选择 第三方服务 .

  6. 勾选 我已理解上述建议并希望继续创建访问密钥 确认复选框。

  7. 点击 下一步 .

    您将被重定向至 设置描述标签(可选) 页面。

  8. 点击 创建访问密钥 .

  9. 检索访问密钥 页面中,请安全保存访问密钥和秘密访问密钥,后续步骤将需要使用它们。

注意

如需了解有关管理IAM访问密钥的更多信息,请参阅 IAM用户如何管理自己的访问密钥 文档页面。

使用日志归档账户模板创建CloudFormation堆栈集

本阶段将使用先前下载的日志归档账户模板。

按照 使用服务管理权限创建堆栈集(控制台) 流程,在CloudFormation控制台中创建所需堆栈集,并注意以下规范:

  • 使用管理账户登录后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部导航栏中,选择部署AWS Control Tower落地区的AWS区域。

  • 选择模板 页面中, 指定模板 部分:

    1. 选择 上传模板文件 .

    2. 点击 选择文件 .

    3. 浏览本地计算机,选择 bitdefender-gz-xdr-aws-control-tower-log-archive-account.yaml 文件(即先前下载的文件),然后点击 打开 .

  • 指定堆栈集详细信息 页面的 参数 部分,输入之前记录的日志归档存储桶名称和管理账户ID的值。

    警告

    若您在使用管理账户模板创建堆栈时自定义了 LogArchiveReadRoleNameServiceIAMUserName 的值,请确保在创建堆栈集时使用相同值以保持一致性。若未自定义,建议保留默认值。

  • 配置堆栈集选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。其余设置建议保留默认。

  • 设置部署选项 页面,在 部署目标 :

    1. 选择 部署至组织单元(OU) .

    2. AWS OU ID 字段中输入包含您之前记录的日志归档账户的组织单元ID。

    3. 选择 交集 账户筛选类型。

    4. 账户编号 文本框中输入您之前记录的日志归档账户ID。

  • 设置部署选项 页面, 指定区域 部分,选择部署了AWS Control Tower登陆区的区域。

  • 设置部署选项 页面, 自动部署选项 部署选项 部分保留默认配置。

当跳转至 操作 在您的新 StackSet 的标签页中,等待状态变为 SUCCEEDED .

为日志归档账户的存储桶启用 Amazon SQS 通知

按照 使用 Amazon S3 控制台启用 Amazon SNS、Amazon SQS 或 Lambda 通知 步骤,为日志归档账户的存储桶启用通知,并注意以下规范:

  • 使用日志归档账户登录并访问 Amazon S3 控制台。

  • 通用存储桶 标签页中,选择您在 从 Control Tower 控制台收集所需信息 步骤中记录的 Amazon S3 存储桶。

  • 常规配置 部分的 创建事件通知 页面中,为您的事件通知指定一个名称。不要修改其他任何字段。

  • 事件类型 部分的 创建事件通知 页面中,选择 所有对象创建事件 .

  • 在同一页面的 目标 部分:

    1. 选择 SQS 队列 输入SQS队列ARN .

    2. SQS队列 文本框中,输入之前保存的 GravityZoneXDRSQSQueueARN 导出值。

(可选) 在管理账户中启用响应操作

在此阶段,您将使用之前下载的响应操作模板。

重要提示

可选响应操作仅适用于管理账户,允许禁用已遭入侵的IAM用户。

要创建启用响应操作所需的堆栈,请按照 从CloudFormation控制台创建堆栈 页面中的 创建堆栈(控制台) 流程操作,并注意以下规范:

  • 使用管理账户登录后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部的导航栏中,选择部署AWS Control Tower登陆区的AWS区域。

  • 点击 创建堆栈 后,选择 使用新资源(标准) .

  • 创建堆栈 页面,选择 选择现有模板 ,然后 上传模板文件 .

  • 点击 选择文件 后,浏览本地计算机,选择之前下载的 bitdefender-gz-xdr-aws-control-tower-response-actions.yaml 文件,然后点击 打开 .

  • 指定堆栈详细信息 页面的 参数 部分,输入与使用管理账户模板创建堆栈时相同的 ServiceIAMUserName 。若此前未自定义该值,可保留默认值。

  • 配置堆栈选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。建议其余设置保持默认。

当跳转至新堆栈的 事件 选项卡后,等待状态变为 创建完成 .

GravityZone 控制中心配置传感器

按照以下步骤完成传感器设置:

  1. GravityZone 控制中心 检查要求 页面,点击 下一步 继续向导设置。

  2. 传感器详情 页面,输入集成名称。

  3. 输入您在 创建IAM访问密钥 过程中保存的访问密钥和秘密访问密钥。

  4. SQS链接 字段中,输入之前保存的 GravityZoneXDRSQSQueueURL 导出值。

  5. 点击 测试连接 .

    将显示确认消息,表明集成已成功添加到传感器列表。

  6. 点击 完成 .

新集成将出现在 传感器管理 表格中。

警告

若选择不启用响应操作,集成详情面板将在 响应状态 : 事件响应策略应包含文档要求的所有必要操作 。响应状态也将显示为 需采取行动 。此为已知问题且不影响功能,可安全忽略。

本节内容 :