Mengumpulkan log AWS Aurora

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Aurora ke Google Security Operations. AWS Aurora adalah layanan database relasional terkelola yang menawarkan performa, skalabilitas, dan ketersediaan tinggi. Dalam integrasi ini, Anda akan mengonfigurasi AWS Aurora untuk meneruskan log ke Google SecOps untuk analisis, pemantauan, dan deteksi ancaman.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.
  • Pastikan cluster database AWS Aurora Anda sudah disiapkan dan berjalan.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess dan CloudWatchLogsFullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi Pemantauan yang Ditingkatkan

  1. Login ke AWS Management Console.
  2. Di kotak penelusuran, ketik RDS dan pilih RDS dari daftar layanan.
  3. Di RDS Dashboard, pilih Databases dari panel navigasi.
  4. Pilih cluster Aurora yang ingin Anda pantau.
  5. Di bagian Log & pemantauan, klik Ubah.
  6. Buka bagian Monitoring dan aktifkan Enhanced Monitoring.
  7. Tetapkan Peran pemantauan ke peran IAM yang sesuai yang memiliki izin untuk memublikasikan ke CloudWatch Logs atau S3.
  8. Simpan perubahan dan terapkan ke cluster Aurora Anda.

Mengonfigurasi Log Audit AWS Aurora

  1. Di Dasbor RDS, pilih Database, lalu klik cluster Aurora.
  2. Di bagian Logs & Monitoring, klik Modify.
  3. Di bagian Database Options, pastikan Enable Audit Logs dipilih.
  4. Di bagian Destination, pilih S3 dan tentukan bucket S3 tempat log akan disimpan.
  5. Klik Simpan perubahan untuk menerapkan setelan.

Opsional: Konfigurasi Log AWS Aurora menggunakan CloudWatch

Untuk kemampuan pemantauan tambahan, Anda dapat mengonfigurasi CloudWatch Logs untuk mengambil log Aurora.

  1. Di Dasbor RDS, pilih cluster Aurora.
  2. Di bagian Logs & Monitoring, pastikan integrasi CloudWatch Logs diaktifkan.
  3. Buka CloudWatch Logs dan buat Log Group baru untuk menyimpan log Aurora.
  4. Di layar Log Groups, pilih nama Log Group baru Anda.
  5. Pilih Tindakan > Ekspor data ke Amazon S3.

  6. Di layar Ekspor data ke Amazon S3, pada bagian Tentukan ekspor data, tetapkan rentang waktu untuk data yang akan diekspor menggunakan Dari dan Ke.

  7. Pilih bucket S3, pilih akun yang terkait dengan bucket Amazon S3.

  8. S3 bucket name, pilih bucket Amazon S3.

  9. Awalan Bucket S3, masukkan string yang dibuat secara acak yang Anda tentukan dalam kebijakan bucket.

  10. Pilih Ekspor untuk mengekspor data log ke Amazon S3.

  11. Untuk melihat status data log yang Anda ekspor ke Amazon S3, pilih Tindakan > Lihat semua ekspor ke Amazon S3.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Aurora

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Aurora Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Aurora sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: Region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
account principal.group.product_object_id Dipetakan langsung dari kolom account dalam log mentah.
column1 timestamp_epoch Dipetakan langsung dari kolom column1 dalam log mentah. Digunakan untuk mendapatkan metadata.event_timestamp.
column10 Bervariasi Dapat berupa principal.process.command_line, object, atau number, bergantung pada format log.
column11 ddl atau response atau command_line2 Dapat berupa principal.resource.resource_subtype (ddl), security_result.outcomes.value (respons), atau bagian dari principal.process.command_line (command_line2) bergantung pada format log.
column12 operation atau response atau command_line3 Dapat berupa sr.summary (operasi), security_result.outcomes.value (respons), atau bagian dari principal.process.command_line (command_line3) bergantung pada format log.
column13 database atau response Dapat berupa target.resource.name (database) atau security_result.outcomes.value (respons) bergantung pada format log.
column14 object Dipetakan langsung ke principal.resource.product_object_id atau target_data.resource.name, bergantung pada format log.
column15 command_line Dipetakan langsung ke principal.process.command_line.
column16 response Dipetakan langsung ke security_result.outcomes.value.
column2 timestamp atau timestamp_ms Dipetakan langsung dari kolom column2 dalam log mentah.
column3 ip atau hostname Dapat berupa principal.ip atau principal.resource.name, bergantung pada format log.
column4 port atau userid Dapat berupa principal.port atau principal.user.userid, bergantung pada format log.
column5 userid atau ip Dapat berupa principal.user.userid atau principal.ip, bergantung pada format log.
column6 hostname atau connection_id Dapat berupa principal.resource.name atau network.session_id, bergantung pada format log.
column7 connection_id atau query_id Dapat berupa network.session_id atau principal.process.pid, bergantung pada format log.
column8 operation Dipetakan langsung ke sr.summary atau metadata.product_event_type.
column9 query_id atau database Dapat berupa principal.process.pid atau target_data.resource.name, bergantung pada format log.
command_line principal.process.command_line Dipetakan langsung dari kolom command_line yang diekstrak.
connection_id network.session_id Dipetakan langsung dari kolom connection_id yang diekstrak.
database target.resource.name Dipetakan langsung dari kolom database yang diekstrak. Berasal dari beberapa kolom seperti operation, command_line, has_principal_user, dan has_principal_machine melalui logika kondisional di parser. Dapat berupa RESOURCE_DELETION, RESOURCE_CREATION, RESOURCE_READ, RESOURCE_WRITTEN, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, atau GENERIC_EVENT. Di-hardcode ke "AWS_AURORA". Dipetakan dari column8 atau berasal dari logika parser. Di-hardcode ke "AURORA". Di-hardcode ke "AMAZON".
has_principal_machine has_principal_machine Tetapkan ke "true" jika principal.ip ada, jika tidak, inisialisasi ke "false".
has_principal_user has_principal_user Tetapkan ke "true" jika principal.user.userid ada, jika tidak, inisialisasi ke "false".
hostname principal.resource.name Dipetakan langsung dari kolom hostname yang diekstrak.
ip principal.ip Dipetakan langsung dari kolom ip yang diekstrak.
logevent.id security_result.detection_fields.value Disusun bertingkat dalam target.logEvents.logEvents, dipetakan dengan kunci "id".
logevent.message security_result.detection_fields.value Disusun bertingkat dalam target.logEvents.logEvents, dipetakan dengan kunci "message". Digunakan untuk mengekstrak principal.ip, time_unix, operation, dan user.
logevent.timestamp security_result.detection_fields.value Bertingkat dalam target.logEvents.logEvents, dipetakan dengan kunci "stempel waktu".
object target_data.resource.name atau principal.resource.product_object_id Dipetakan langsung dari kolom object yang diekstrak.
operation sr.summary Dipetakan langsung dari kolom operation yang diekstrak.
port principal.port Dipetakan langsung dari kolom port yang diekstrak.
query_id principal.process.pid Dipetakan langsung dari kolom query_id yang diekstrak.
response security_result.outcomes.value Dipetakan langsung dari kolom response yang diekstrak.
service principal.application Dipetakan langsung dari kolom service dalam log mentah.
src_ip principal.ip Diekstrak dari logevent.message dalam struktur target.logEvents.logEvents bertingkat.
target.logEvents.logGroup target.resource.attribute.labels.value Dipetakan dengan kunci "logGroup".
target.logEvents.logStream target.resource.attribute.labels.value Dipetakan dengan kunci "logStream".
target.logEvents.messageType target.resource.attribute.labels.value Dipetakan dengan kunci "messageType".
target.logEvents.owner target.resource.attribute.labels.value Dipetakan dengan kunci "owner".
timestamp_epoch metadata.event_timestamp Dikonversi ke metadata.event_timestamp menggunakan filter date.
user principal.user.userid Diekstrak dari logevent.message dalam struktur target.logEvents.logEvents bertingkat.
userid principal.user.userid Dipetakan langsung dari kolom userid yang diekstrak.

Perubahan

2024-01-12

  • Memetakan "logEvents.messageType", "logEvents.owner", "logEvents.logGroup", "logEvents.logStream" ke "target.resource.attribute.labels".
  • Memetakan "logEvents.logEvents.message", "logEvents.logEvents.timestamp", "logEvents.logEvents.id" ke "securit_result.detection_fields".
  • Menambahkan pola Grok untuk mengambil alamat IP dari "logEvents.logEvents.message" dan memetakan "src_data" ke "principal.ip".
  • Memetakan "user" ke "principal.user.userid".

2023-11-02

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.