管理云来源

1. 日志设置：Amazon CloudTrail日志
2. 日志设置：Amazon S3服务器访问日志
3. 日志设置：Amazon ELB访问日志
4. 日志设置：Microsoft 365日志
5. 启用/禁用云源
6. 删除云源
7. Salesforce

日志设置：Amazon CloudTrail日志

CloudTrail是AWS提供的一个API日志监控网络服务。它允许AWS客户记录API调用，并将这些日志文件发送到Amazon S3存储桶进行存储。该服务提供API活动的详细信息，如API调用者的身份、API调用时间、API调用者的源IP地址、发出的请求以及AWS服务返回的响应元素。此外，它还捕获一些非API事件（AWS服务事件和AWS控制台登录事件）。

CloudTrail还可以配置为为每个传递的日志文件发布通知，允许用户在日志文件传递时采取行动。

（I）启用CloudTrail

• 登录AWS控制台。
• 转到 AWS服务 → 管理工具 → CloudTrail.
• 选择 跟踪日志存储桶.
• 点击 添加新跟踪

（II）将创建的CloudTrail跟踪日志存储桶作为数据源添加到Log360 Cloud

• 登录 Log360 Cloud控制台.
• 转到 设置 > 配置 > 管理云源 并点击 添加数据源.



• 选择 CloudTrail 从 数据源下拉菜单 中。



• 选择 日志抓取模式、AWS区域、跟踪和日志存储桶.



• 点击 配置.

日志设置：Amazon S3服务器访问日志

什么是S3服务器访问日志？

通过访问日志可以跟踪对S3存储桶的访问请求。每条访问日志记录提供了关于单个访问请求的详情，如请求者、存储桶名称、请求时间、请求操作、响应状态以及错误代码（如有）。这些访问信息有助于识别流量的性质。

按以下步骤将Amazon S3服务器访问日志添加为Cloud Security Plus中的数据源。

• 登录Log360 Cloud控制台。
• 转到 设置 > 配置 > 管理云源 并点击 添加数据源.
• 选择 S3服务器访问日志 从 数据源下拉菜单 中。



• 选择要启用访问日志的 S3存储桶 。



• 点击 配置..

日志设置：Amazon ELB访问日志

弹性负载均衡器访问日志捕获有关对负载均衡器发起请求的信息，可用于分析流量模式和排查问题。这些日志包含请求接收时间、客户端IP地址、延迟、请求路径和服务器响应等详情。

按以下步骤将Amazon ELB访问日志添加为Cloud Security Plus中的数据源。

• 登录Log360 Cloud控制台。
• 转到 设置 > 配置 > 管理云源.
• 点击 添加数据源.
• 将弹出添加数据源窗口。
• 选择 从数据源下拉菜单中选择 ELB访问日志。
• 选择所需的区域。
• 选择要启用访问日志的传统型、网络型和应用型负载均衡器。



• 点击 配置.

日志设置：Microsoft 365日志

Microsoft 365日志捕获用户在Microsoft 365平台上的操作信息。Log360 Cloud帮助您跟踪Microsoft 365平台上的所有活动，并提供活跃用户排行、访问最多的文件、关键操作以及更多见解。您还可以利用该解决方案识别网络中的恶意使用模式，防止大规模事件。本文档帮助您配置Microsoft 365作为日志源。

先决条件：

要注册您的应用于Azure AD，您需要拥有Microsoft 365订阅和已关联Microsoft 365订阅的Azure订阅。您可以使用Microsoft 365和Azure的试用订阅开始。

添加Microsoft 365日志的步骤：

在Log360 Cloud中添加Microsoft 365租户时，会添加四个主要数据源 - Azure Active Directory、Exchange Online、Sharepoint Online 和 Microsoft 365 General（包括Teams、Skype、Sway等）。不能添加上述之外的新数据源。

按以下步骤手动添加Microsoft 365租户以进行日志收集。

• 登录Log360 Cloud控制台。
• 转到 设置 > 管理 > 账户设置.
• 切换到 配置云账户 选项卡并点击 添加云账户 按钮。



• 在 添加新云账户 页面，从下拉框选择Microsoft 365 云类型 。输入 租户名称、应用ID、应用对象ID和应用密钥.
• 选择 及适当的Azure环境 并点击 保存 以添加新的Microsoft 365租户进行监控。

启用/禁用云源

启用云源：

要在Log360 Cloud中启用云源，

• 前往配置设置 → 管理云源 → AWS/Microsoft 365标签页
• 点击位于 操作 列下您要启用的数据源旁的图标。 column for the data source you want to enable.
• 数据源将被启用。

禁用云源：

要在 Log360 Cloud 中禁用云源，

• 前往配置设置 → 管理云源 → AWS/Microsoft 365标签页
• 点击位于 定位到您要禁用的数据源的“操作”列下。
• 数据源将被禁用。

删除云源

对于 AWS：

要在 Log360 Cloud 中删除云源，

• 点击删除图标 操作 列下您要启用的数据源旁的图标。 在该特定数据源的列中。



• 数据源将被删除。

对于 Microsoft 365：

您无法删除 M365 租户的特定数据源。您只能删除 Log360 Cloud 中的整个 Microsoft 365 租户。要停止监控特定的日志源，

转到 管理员 → 账户设置 → 配置云账户.

Salesforce

Log360 Cloud 通过自动收集和分析事件日志文件来监控 Salesforce 用户活动。通过分析 Salesforce 用户活动，您可以检测潜在的安全威胁，监控登录和搜索活动；并针对可疑行为接收警报，从而增强数据保护和合规性。

在 Salesforce 中设置具有权限的连接应用

先登录您的 Salesforce 账户，确保使用的用户账户拥有 启用 API.

注意：

对于在 Log360 Cloud 中获取和分析 Salesforce 日志，拥有 Salesforce 事件监控 附加许可证非常重要。

如果使用非管理员用户，请确保启用以下权限：

• 查看事件日志文件（用于收集事件日志）
• 查看设置和配置（用于收集审计日志）
• 查看角色和角色层级（用于收集审计日志）

创建具有权限的连接应用：

1. 导航到 设置 → 构建 → 创建 → 应用 → 连接应用.
2. 点击 新建 并提供 连接应用名称，联系邮箱， 以及 回调 URL.



3. 启用 OAuth 设置 并授权完全访问权限。
4. 点击 保存连接应用将被创建，您可以继续查看 客户端密钥 以及 客户端密钥密码.



5. 导航到 设置 → 管理 → 管理应用 → 连接应用.
6. 点击新创建的连接应用。在 OAuth 策略下，放宽 IP 限制。



7. 点击 保存.

获取 Salesforce 客户端 URL：

1. 访问 Salesforce 登录页面，复制浏览器地址栏中的 URL。
2. 将 URL 粘贴到登录 URL 字段（例如：https://testingtech-ap48.my.salesforce.com）。

在 Log360 Cloud 控制台中输入 Salesforce 凭据：

1. 进入 设置 > 管理 > 账户设置。
2. 转到 配置云账户 标签，点击 添加云账户 按钮。
3. 在新增云账户页面，从下拉框中选择 Salesforce 云类型。
4. 输入显示名称。
5. 输入用户名、密码、客户端 ID（客户密钥）、客户端密钥密码（客户密钥密码）以及登录 URL，以启用 Log360 Cloud 开始收集日志。