API を使用したIntelligence へのAWS 環境のオンボード

CloudGuard REST API を使用して、1 つ以上のAWS 環境をインテリジェンスにオンボードできます。CloudGuard ポータルを使用したAWS environment のオンボードについては、Intelligence へのAWS 環境のオンボード を参照してください。

前提条件

API を使用してAWS 環境にオンボードする前に、次の準備が整っていることを確認してください。

  • CloudGuardアカウント情報:アカウントのAPI キーとシークレット。新しいAPI 認証情報を作成するには、 を参照してください。

  • AWS アカウント情報:

    • AWSアカウントのID (アカウント番号)

    • Flow Logs または CloudTrail ログを保存するバケットの名前

    • バケットからイベント通知を受信するSNSトピックのARN

    • 一元型 S3 バケットの場合:一元型バケットにログファイルを配信する追加のAWS環境のID

  • 以下を含むAWSアカウントのセットアップ:

    • SNSトピック

    • S3 バケットが SNS トピックに送信できるイベント通知

    • CloudGuardインテリジェンスに付与される権限

AWSアカウントには、ログバケットから通知を受け取る準備ができたSNSトピックが必要です。トピックには、ログバケットリソースで SNS:Publish を許可するポリシーが必要です。

SNS トピックを作成するには:

  1. Amazon SNS コンソールを開き、Topics に移動します。

  2. Create topicをクリックします。

  3. Create topic セクションで、トピックの名前と説明を入力します。

  4. Access policy セクションで、トピックを発行してサブスクライブできるユーザをEveryone に設定します。

    ベストプラクティス - Check Point は、オンボーディングが正常に完了した後、パブリッシングポリシーとサブスクリプションポリシーを制限することをお勧めします。

    SNSアクセスポリシーの詳細については、AWSドキュメントを参照してください。

  5. Create topicをクリックします。

SNS トピックと S3 バケットをイベント通知で接続できます。通知には、イベントタイプPut をオブジェクト作成イベント(s3:ObjectCreated:Put) に含める必要があります。

通知のプレフィックスフィルタが十分であり、必要なすべてのログが含まれていることを確認します。

イベント通知を使用して SNS トピックを S3 バケットにアタッチするには:

  1. AWS コンソールで、Amazon S3 > Buckets に移動します。

  2. バケットリストで、関連するバケットを開き、Properties タブに移動します。

  3. Event notifications セクションまでスクロールし、Create event notification をクリックします。

  4. General configurations の下で、セットアップの詳細を入力し、Event typesObject creation - Put を選択します。

    - AWS では、同じイベントタイプの重複するプレフィックスは許可されません。

  5. Destination の場合は、SNS topic を選択し、選択またはARN で指定します。

  6. Save changesをクリックします。

オンボーディング中に作成したCloudGuard トラストロールに、以下の権限を追加します。

  1. トラストロール ARN を復元するには、environment ページを開き、Edit Credentials をクリックしてRole ARN をコピーします。

  2. 次の権限を追加します。

    • アクション: s3:GetObject

      リソース:全オンボードおよびオンボードバケットのARN

    • アクション: sns:Subscribesns:Unsubscribe

      リソース:すべてのオンボードSNSトピックのARNとオンボードに関するトピック

    • アクション: kms:Decrypt

      リソース:バケットまたはCloudTrail証跡を暗号化するKMSキーのARN(利用可能な場合)

リクエスト

POST /v2/view/magellan/magellan-custom-onboarding

コピー 
{ "bucketName": " intelligence-onboarding-*****-*****-******* ", "bucketAccountId":"5******************9", "topicArn": " arn:aws:sns:us-east-1:5************9:********", "cloudAccountIds": [ ], "onboardingType":"Cloudtrail" } 

API のドキュメントとコード例については、 https://api-v2-docs.dome9.com/#intelligence_awscustomonboarding.を参照してください。

認証

基本承認:API キーとシークレットをそれぞれユーザ名とパスワードとして使用します。

パラメータ

  • bucketName - Flow Logs または CloudTrail ログを保存する S3 バケットの名前

  • bucketAccountId - S3 バケットを含む AWS アカウント ID (CloudGuard にオンボードする必要があります)

  • topicArn - S3バケットからイベント通知を受信するSNSトピックのARN

  • cloudAccountIds - 一元型 S3 バケットの場合、一元型 S3 バケットにログファイルを配信する追加の AWS アカウントのクラウドアカウント ID。

  • onboardingType - アカウントアクティビティまたはトラフィックアクティビティのCloudTrail またはFlowLogs

レスポンス

200 – OK

オンボーディング検証

完了したら、次を確認します。

  • サブスクリプションがSNS トピックに追加されます。

  • オンボードAWSアカウントの新しいログは、Events > Account Activity またはNetwork Traffic でCloudGuardポータルに表示され始めます。これにかかる時間は30 分未満です。