跳至主要内容

AWS传感器(Control Tower配置)

AWS传感器负责收集并处理有关配置变更及用户、角色或AWS服务所执行操作的信息。

您可将两类AWS环境与 GravityZone 扩展检测与响应 :

本节将指导您完成将AWS Control Tower治理的环境与 XDR .

注意

有关AWS Control Tower服务的信息,请参阅 什么是AWS Control Tower? .

概述

集成过程包含多个子步骤:

前提条件

在将您的AWS Control Tower托管环境与 GravityZone XDR 集成前,请确保:

  • 您拥有AWS组织中管理账户和日志归档账户的访问权限。

  • 您具备创建和管理AWS资源所需的IAM权限。

    注意

    推荐使用 AdministratorAccess 策略。

  • 管理账户和日志归档账户需属于同一Control Tower着陆区,并配置在该着陆区所在的同一AWS区域。

GravityZone 控制中心下载模板

要从 GravityZone 控制中心 下载所需的CloudFormation模板,请按以下步骤操作:

  1. 登录 GravityZone 控制中心 .

  2. 前往 配置 > 传感器管理 页面(通过左侧菜单)。

  3. 点击 新增 .

  4. 选择需要部署传感器的公司。

  5. 点击 下一步 .

  6. 找到 AWS 卡片并点击 集成 .

    此时将显示集成向导。

  7. 检查要求 步骤中,选择以下URL下载配置文件:

    • 管理账户模板

    • 日志归档账户模板

    • 响应操作模板 (可选,用于执行响应操作)

    根据浏览器设置,文件将自动下载或在新标签页中打开。

提示

保持登录状态 GravityZone 控制中心 请保持登录状态,因为在后续设置阶段您需要返回此页面。

从Control Tower控制台收集所需信息

必须从AWS Control Tower控制台获取以下信息:

  • 管理账户ID

  • 日志存档账户ID

  • 包含日志存档账户的组织单元ID

  • Amazon S3存储桶名称

按以下步骤收集信息:

  1. 登录 AWS管理控制台 使用您AWS组织中的管理账户。

  2. 在控制台顶部的搜索栏中输入 Control Tower .

  3. 从结果列表中选择 Control Tower 服务。

    您将被重定向至AWS Control Tower控制台。

  4. 在左侧菜单中选择 组织 .

    您将被重定向至AWS Control Tower中的 组织 页面。有关此页面的详细信息,请参阅 使用AWS Control Tower管理组织和账户 .

  5. 找到并记录以下信息以备后续使用:

    • 管理账户ID

    • 日志存档账户ID

    • 包含日志存档账户的组织单元ID

  6. 从左侧导航栏中选择 登陆区设置 以在Control Tower控制台中打开对应页面。

  7. 打开 配置 选项卡。

  8. AWS CloudTrail配置 部分,找到 Amazon S3存储桶 字段并记录其值以供后续使用。

使用管理账户模板创建CloudFormation堆栈

本阶段将使用先前下载的管理账户模板。

按照 创建堆栈(控制台) 流程,参考 通过CloudFormation控制台创建堆栈 页面的说明创建所需堆栈,并注意以下规范:

  • 使用管理账户登录后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部导航栏中,选择部署AWS Control Tower登陆区的AWS区域。

  • 点击 创建堆栈 后,选择 使用新资源(标准) .

  • 创建堆栈 页面,选择 选择现有模板 ,然后 上传模板文件 .

  • 点击 选择文件 后,浏览本地计算机,选择之前下载的 bitdefender-gz-xdr-aws-control-tower-management-account.yaml 文件,然后点击 打开 .

  • 指定堆栈详细信息 页面的 参数 部分,输入之前记录的日志归档账户ID和存储桶名称。

    重要提示

    建议保留其余字段的默认值。若需自定义,请务必记录以便后续使用。

  • 配置堆栈选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。建议其余设置保持默认。

当跳转至新堆栈的 事件 选项卡后,等待状态变为 创建完成 .

创建IAM访问密钥

请按以下步骤创建访问密钥,以便AWS传感器安全连接至您的AWS环境:

  1. 在CloudFormation控制台的左侧菜单中,选择 导出 以导航至 导出 页面。

  2. 请安全保存 GravityZoneXDRSQSQueueURLGravityZoneXDRSQSQueueARN 导出的值,后续步骤将需要这些信息。

  3. 点击 GravityZoneXDRServiceUserURL 导出的值。

    您将被重定向至IAM 选择您的AWS会话 页面。

  4. 选择您管理账户的ID。

    您将被重定向至IAM 创建访问密钥 > 访问密钥最佳实践与替代方案 页面。

  5. 选择 第三方服务 .

  6. 勾选 我理解上述建议并继续创建访问密钥 确认复选框。

  7. 点击 下一步 .

    您将被重定向至 设置描述标签 - 可选 页面。

  8. 点击 创建访问密钥 .

  9. 检索访问密钥 页面中,请安全保存访问密钥和秘密访问密钥,后续操作将需要使用它们。

注意

如需了解有关管理IAM访问密钥的更多信息,请参阅 IAM用户如何管理自己的访问密钥 文档页面。

使用日志归档账户模板创建CloudFormation堆栈集

本阶段将使用先前下载的日志归档账户模板。

按照 使用服务管理权限创建堆栈集(控制台) 流程在CloudFormation控制台中创建所需堆栈集,并注意以下规范:

  • 登录管理账户后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部导航栏中,选择部署AWS Control Tower落地区的AWS区域。

  • 选择模板 页面的 指定模板 部分:

    1. 选择 上传模板文件 .

    2. 点击 选择文件 .

    3. 浏览本地计算机,选择您之前下载的 bitdefender-gz-xdr-aws-control-tower-log-archive-account.yaml 文件,然后点击 打开 .

  • 指定堆栈集详细信息 页面的 参数 部分,输入您之前记录的日志归档存储桶名称和管理账户ID的值。

    警告

    如果您在使用管理账户模板创建堆栈时自定义了 LogArchiveReadRoleNameServiceIAMUserName 的值,请确保在创建堆栈集时使用相同的值以保持一致性。如果未自定义,建议保留默认值。

  • 配置堆栈集选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。建议其余设置保持默认。

  • 设置部署选项 页面的 部署目标 :

    1. 选择 部署至组织单元(OU) .

    2. AWS OU ID 字段中输入包含您之前记录的日志归档账户的组织单元ID。

    3. 选择 交集 账户筛选类型。

    4. 账户编号 文本框中输入您之前记录的日志归档账户ID。

  • 设置部署选项 页面中, 指定区域 下选择部署了AWS Control Tower落地区的区域。

  • 设置部署选项 页面中, 自动部署选项 部署选项 部分保留默认配置。

当跳转至新StackSet的 操作 选项卡后,等待状态变为 成功 .

为日志归档账户存储桶启用Amazon SQS通知

按照 使用Amazon S3控制台启用Amazon SNS、Amazon SQS或Lambda通知 流程为日志归档账户存储桶启用通知,并注意以下要求:

  • 使用日志归档账户登录后访问Amazon S3控制台。

  • 通用存储桶 标签页中,选择您在 从Control Tower控制台收集必要信息 流程中记录的Amazon S3存储桶。

  • 常规配置 部分的 创建事件通知 页面中,为事件通知指定名称。不要修改其他任何字段。

  • 事件类型 部分的 创建事件通知 页面中,选择 所有对象创建事件 .

  • 在同一页面的 目标 部分:

    1. 选择 SQS队列 输入SQS队列ARN .

    2. SQS队列 文本框中输入之前保存的 GravityZoneXDRSQSQueueARN 导出值。

(可选)在管理账户中启用响应操作

在此阶段,您将使用之前下载的响应操作模板。

重要提示

可选响应操作仅在管理账户中可用,允许禁用被入侵的IAM用户。

要创建启用响应操作所需的堆栈,请按照 从CloudFormation控制台创建堆栈 页面中的 创建堆栈(控制台) 流程操作,并注意以下规范:

  • 使用管理账户登录后访问CloudFormation控制台。

  • 在CloudFormation控制台顶部的导航栏中,选择部署AWS Control Tower登陆区的AWS区域。

  • 点击 创建堆栈 后,选择 使用新资源(标准) .

  • 创建堆栈 页面,选择 选择现有模板 ,然后 上传模板文件 .

  • 点击 选择文件 后,浏览本地计算机并选择 bitdefender-gz-xdr-aws-control-tower-response-actions.yaml 选择您之前下载的文件,然后点击 打开 .

  • 指定堆栈详细信息 页面的 参数 部分,输入与使用管理账户模板创建堆栈时相同的 ServiceIAMUserName 。若此前未自定义该值,可保留默认值。

  • 配置堆栈选项 页面,勾选 我确认AWS CloudFormation可能创建具有自定义名称的IAM资源 复选框(位于 功能 部分)。建议其余设置保持默认。

当跳转至新堆栈的 事件 选项卡后,等待状态变为 创建完成 .

GravityZone 控制中心

完成传感器设置需遵循以下步骤:

  1. 登录 GravityZone 控制中心 检查要求 页面,点击 下一步 继续向导设置。

  2. 传感器详情 页面,为集成输入一个名称。

  3. 输入您在 创建IAM访问密钥 过程中保存的访问密钥和秘密访问密钥。

  4. SQS链接 字段中,输入之前保存的 GravityZoneXDRSQSQueueURL 导出值。

  5. 点击 测试连接 .

    将显示确认消息,表明集成已成功添加到您的传感器列表中。

  6. 点击 完成 .

新集成将出现在 传感器管理 表格中。

警告

如果您选择不启用响应操作,集成详情面板将在 响应状态 : 事件响应策略应包含文档中要求的所有必要操作 。响应状态也将显示为 需采取行动 。此为已知问题且不影响功能,可安全忽略。

本节内容 :