收集 AWS Aurora 日志

支持的平台:

本文档介绍了如何将 AWS Aurora 日志提取到 Google Security Operations。AWS Aurora 是一项托管式关系型数据库服务,可提供高性能、可伸缩性和高可用性。在此集成中,您将配置 AWS Aurora 将日志转发到 Google SecOps 以进行分析、监控和威胁检测。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 AWS 的特权访问权限。
  • 确保您的 AWS Aurora 数据库集群已设置并正常运行。

配置 Amazon S3 存储分区

  1. 按照以下用户指南创建 Amazon S3 存储分区创建存储分区
  2. 保存存储分区的名称区域,以备日后使用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 点击访问密钥部分中的创建访问密钥
  7. 选择第三方服务作为用例
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 CSV 文件,保存访问密钥密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccessCloudWatchLogsFullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

配置增强型监控

  1. 登录 AWS Management Console
  2. 在搜索栏中输入 RDS,然后从服务列表中选择 RDS
  3. RDS 信息中心中,从导航窗格中选择数据库
  4. 选择要监控的 Aurora 集群
  5. 日志和监控部分下,点击修改
  6. 前往监控部分,然后启用增强型监控
  7. 监控角色设置为具有向 CloudWatch 日志S3 发布日志的适当 IAM 角色。
  8. 保存更改并将其应用于 Aurora 集群。

配置 AWS Aurora 审核日志

  1. RDS 信息中心中,选择数据库,然后点击您的 Aurora 集群
  2. 日志和监控部分下,点击修改
  3. 数据库选项部分,确保选中启用审核日志
  4. 目标位置下,选择 S3,然后指定要存储日志的 S3 存储分区
  5. 点击保存更改以应用设置。

可选:使用 CloudWatch 配置 AWS Aurora 日志

如需使用其他监控功能,您可以配置 CloudWatch Logs 来捕获 Aurora 日志。

  1. RDS 信息中心中,选择您的 Aurora 集群
  2. 日志和监控部分下,确保已启用 CloudWatch Logs 集成。
  3. 前往 CloudWatch 日志,然后创建一个新的日志组以存储 Aurora 日志。
  4. 日志组屏幕上,选择新日志组的名称。
  5. 依次选择操作 > 将数据导出到 Amazon S3

  6. 将数据导出到 Amazon S3 屏幕上的定义数据导出下,使用开始时间结束时间设置要导出的数据的时间范围。

  7. 选择 S3 存储分区,然后选择与 Amazon S3 存储分区关联的账号。

  8. S3 存储分区名称,选择一个 Amazon S3 存储分区。

  9. S3 存储分区前缀,输入您在存储分区政策中指定的随机生成的字符串。

  10. 选择导出,将日志数据导出到 Amazon S3。

  11. 如需查看导出到 Amazon S3 的日志数据的状态,请依次选择操作 > 查看导出到 Amazon S3 的所有数据

在 Google SecOps 中配置 Feed 以提取 AWS Aurora 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 AWS Aurora 日志)。
  4. 选择 Amazon S3 作为来源类型
  5. 选择 AWS Aurora 作为日志类型
  6. 点击下一步

  7. 为以下输入参数指定值:

    • 区域:Amazon S3 存储分区所在的区域。
    • S3 URI:存储分区 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为存储分区的实际名称。
    • URI 是:选择目录包含子目录的目录

    • 来源删除选项:根据您的偏好选择删除选项。

    • 访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。

    • 私有访问密钥:有权访问 S3 存储分区的用户私有密钥。

    • 资源命名空间资源命名空间

    • 提取标签:要应用于此 Feed 中的事件的标签。

  8. 点击下一步

  9. 最终确定界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
account principal.group.product_object_id 直接从原始日志中的 account 字段映射。
column1 timestamp_epoch 直接从原始日志中的 column1 字段映射而来。用于派生 metadata.event_timestamp
column10 不定 可以是 principal.process.command_lineobjectnumber,具体取决于日志格式。
column11 ddlresponsecommand_line2 可以是 principal.resource.resource_subtype (ddl)、security_result.outcomes.value (response) 或 principal.process.command_line (command_line2) 的一部分,具体取决于日志格式。
column12 operationresponsecommand_line3 可以是 sr.summary(操作)、security_result.outcomes.value(响应)或 principal.process.command_line(command_line3)的一部分,具体取决于日志格式。
column13 databaseresponse 可以是 target.resource.name(数据库)或 security_result.outcomes.value(响应),具体取决于日志格式。
column14 object 直接映射到 principal.resource.product_object_idtarget_data.resource.name,具体取决于日志格式。
column15 command_line 直接映射到 principal.process.command_line
column16 response 直接映射到 security_result.outcomes.value
column2 timestamptimestamp_ms 直接从原始日志中的 column2 字段映射。
column3 iphostname 可以是 principal.ipprincipal.resource.name,具体取决于日志格式。
column4 portuserid 可以是 principal.portprincipal.user.userid,具体取决于日志格式。
column5 useridip 可以是 principal.user.useridprincipal.ip,具体取决于日志格式。
column6 hostnameconnection_id 可以是 principal.resource.namenetwork.session_id,具体取决于日志格式。
column7 connection_idquery_id 可以是 network.session_idprincipal.process.pid,具体取决于日志格式。
column8 operation 直接映射到 sr.summarymetadata.product_event_type
column9 query_iddatabase 可以是 principal.process.pidtarget_data.resource.name,具体取决于日志格式。
command_line principal.process.command_line 直接从提取的 command_line 字段映射。
connection_id network.session_id 直接从提取的 connection_id 字段映射。
database target.resource.name 直接从提取的 database 字段映射。通过解析器中的条件逻辑从 operationcommand_linehas_principal_userhas_principal_machine 等多个字段派生而来。可以是 RESOURCE_DELETIONRESOURCE_CREATIONRESOURCE_READRESOURCE_WRITTENUSER_RESOURCE_ACCESSUSER_UNCATEGORIZEDGENERIC_EVENT。已硬编码为“AWS_AURORA”。从 column8 映射或从解析器逻辑派生。已硬编码为“AURORA”。已硬编码为“AMAZON”。
has_principal_machine has_principal_machine 如果存在 principal.ip,则设置为“true”;否则,初始化为“false”。
has_principal_user has_principal_user 如果存在 principal.user.userid,则设置为“true”;否则,初始化为“false”。
hostname principal.resource.name 直接从提取的 hostname 字段映射。
ip principal.ip 直接从提取的 ip 字段映射。
logevent.id security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“id”进行映射。
logevent.message security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“message”进行映射。用于提取 principal.iptime_unixoperationuser
logevent.timestamp security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“timestamp”进行映射。
object target_data.resource.nameprincipal.resource.product_object_id 直接从提取的 object 字段映射。
operation sr.summary 直接从提取的 operation 字段映射。
port principal.port 直接从提取的 port 字段映射。
query_id principal.process.pid 直接从提取的 query_id 字段映射。
response security_result.outcomes.value 直接从提取的 response 字段映射。
service principal.application 直接从原始日志中的 service 字段映射。
src_ip principal.ip 从嵌套 target.logEvents.logEvents 结构中的 logevent.message 中提取。
target.logEvents.logGroup target.resource.attribute.labels.value 使用键“logGroup”进行映射。
target.logEvents.logStream target.resource.attribute.labels.value 使用键“logStream”进行映射。
target.logEvents.messageType target.resource.attribute.labels.value 已映射到键“messageType”。
target.logEvents.owner target.resource.attribute.labels.value 已映射到键“owner”。
timestamp_epoch metadata.event_timestamp 使用 date 过滤器转换为 metadata.event_timestamp
user principal.user.userid 从嵌套 target.logEvents.logEvents 结构中的 logevent.message 中提取。
userid principal.user.userid 直接从提取的 userid 字段映射。

变化

2024-01-12

  • 将“logEvents.messageType”“logEvents.owner”“logEvents.logGroup”“logEvents.logStream”映射到“target.resource.attribute.labels”。
  • 将“logEvents.logEvents.message”“logEvents.logEvents.timestamp”“logEvents.logEvents.id”映射到“securit_result.detection_fields”。
  • 添加了 Grok 模式,以从“logEvents.logEvents.message”检索 IP 地址,并将“src_data”映射到“principal.ip”。
  • 将“user”映射到“principal.user.userid”。

2023-11-02

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。