Raccogliere i log AWS CloudWatch

Questo documento spiega come importare i log di AWS CloudWatch in Google Security Operations utilizzando Amazon S3 o Amazon Kinesis Data Firehose. AWS CloudWatch è un servizio di monitoraggio e osservabilità che raccoglie dati operativi sotto forma di log, metriche ed eventi. Questa integrazione ti consente di inviare questi log a Google SecOps per l'analisi e il monitoraggio.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Accesso privilegiato ad AWS

Configura l'esportazione dei log CloudWatch utilizzando AWS S3

Questo processo di esportazione deve essere eseguito regolarmente per importare i log CloudWatch più recenti in S3.

Crea un bucket Amazon S3

Ti consigliamo di utilizzare un bucket creato appositamente per i log CloudWatch.

1. Apri la console Amazon S3.
2. Se necessario, puoi modificare la regione.
   • Nella barra di navigazione, seleziona la regione in cui si trovano i log CloudWatch.
3. Fai clic su Crea bucket.
   • Nome bucket: inserisci un nome significativo per il bucket.
   • Regione: seleziona la regione in cui si trovano i dati di CloudWatch Logs.
   • Fai clic su Crea.

Crea un utente IAM con accesso completo ad Amazon S3 e CloudWatch Logs

1. Apri la console IAM.
2. Fai clic su Utenti > Crea utente.
3. Inserisci un nome nel campo Nome utente (ad esempio, CWExport).
4. Seleziona sia Accesso programmatico sia Accesso alla Console di gestione AWS.
5. Seleziona Password generata automaticamente o Password personalizzata.
6. Fai clic su Avanti: autorizzazioni.
7. Scegli Collega direttamente i criteri esistenti.
8. Cerca e seleziona i criteri AmazonS3FullAccess e CloudWatchLogsFullAccess per l'utente.
9. Fai clic su Avanti: tag.
10. Fai clic su Successivo: esamina.
11. Fai clic su Crea utente.

Configura le autorizzazioni per il bucket Amazon S3

1. Nella console Amazon S3, scegli il bucket che hai creato in precedenza.
2. Fai clic su Autorizzazioni > Criterio del bucket.

3. Nell'editor delle policy del bucket, aggiungi la seguente policy.

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Modifica e aggiorna le seguenti variabili json:

   • Modifica cw-exported-logs con il nome del tuo bucket S3.
   • Modifica random-string in una stringa di caratteri generata in modo casuale.
   • Assicurati di specificare l'endpoint di regione corretto per Principal.

5. Fai clic su Salva.

Configura l'esportazione di CloudWatch

1. Accedi come utente IAM che hai creato in precedenza.
2. Apri la console CloudWatch.
3. Nel menu di navigazione, seleziona Gruppi di log.
4. Seleziona il nome di un gruppo di log esistente o creane uno nuovo.
5. Scegli Azioni > Esporta dati in Amazon S3.
6. Nella schermata Esporta dati in Amazon S3, individua Definisci esportazione dati.

7. Imposta l'intervallo di tempo per i dati da esportare utilizzando Da e A.

8. Scegli bucket S3: seleziona l'account associato al bucket Amazon S3.

9. Nome bucket S3: seleziona un bucket Amazon S3.

10. Prefisso bucket S3: inserisci la stringa generata in modo casuale che hai specificato nella policy del bucket.

11. Scegli Esporta per esportare i dati dei log in Amazon S3.

12. Per visualizzare lo stato dei dati di log che hai esportato in Amazon S3, seleziona Azioni > Visualizza tutte le esportazioni in Amazon S3.

Configura un feed in Google SecOps per importare i log AWS CloudWatch

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, AWS CloudWatch Logs).
4. Seleziona Amazon S3 V2 come Tipo di origine.
5. Seleziona AWS CloudWatch come tipo di log.
6. Fai clic su Avanti.

7. Specifica i valori per i seguenti parametri di input:

   • URI S3: l'URI del bucket
   • s3://your-log-bucket-name/
     • Sostituisci your-log-bucket-name con il nome effettivo del bucket.

   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

   • Durata massima del file: 180 giorni per impostazione predefinita.

   • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.

   • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

8. Fai clic su Avanti.

9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configura l'esportazione dei log CloudWatch utilizzando AWS Data Firehose

Questo processo di esportazione non deve essere eseguito regolarmente dopo la configurazione iniziale.

Configura un feed in Google SecOps per importare i log AWS CloudWatch

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su + Aggiungi nuovo feed.
3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, AWS CloudWatch Logs).
4. Seleziona Amazon Data Firehose come Tipo di origine.
5. Seleziona AWS CloudWatch come tipo di log.
6. Fai clic su Avanti.
7. Specifica i valori per i seguenti parametri di input:
   • Delimitatore di divisione: \n facoltativo.
   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
8. Fai clic su Avanti.
9. Rivedi la configurazione del feed e fai clic su Invia.
10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
11. Copia e salva la chiave segreta perché non potrai più visualizzare questo valore.
12. Vai alla scheda Dettagli.
13. Copia l'URL dell'endpoint del feed dal campo Endpoint Information (Informazioni sull'endpoint).
14. Fai clic su Fine.

Crea una chiave API per il feed Amazon Data Firehose

1. Vai alla console Google Cloud, pagina Credenziali.
2. Fai clic su Crea credenziali e poi seleziona Chiave API.
3. Limita l'accesso alla chiave API all'API Google SecOps.

Specifica l'URL dell'endpoint

Per specificare l'endpoint HTTPS e la chiave di accesso in Amazon Data Firehose:

1. Aggiungi la chiave API all'URL dell'endpoint del feed e specifica questo URL come URL dell'endpoint HTTP nel seguente formato:

   ENDPOINT_URL?key=API_KEY
   

   • Sostituisci quanto segue:

     • ENDPOINT_URL: l'URL dell'endpoint del feed.
     • API_KEY: la chiave API per l'autenticazione a Google SecOps.

Per la chiave di accesso, specifica la chiave segreta che hai ottenuto quando hai creato il feed Amazon Data Firehose.

Configura Amazon Kinesis Data Firehose per Google SecOps {:#configure-kinesis-secops}.

1. Nella console AWS, vai a Kinesis > Data Firehose > Crea flusso di distribuzione.
2. Fornisci i seguenti dettagli di configurazione:
   • Origine: seleziona Inserimento diretto o altre origini.
   • Destinazione: scegli Endpoint HTTP.
   • URL dell'endpoint HTTP: inserisci l'URL dell'endpoint HTTPS del feed di Google SecOps con la chiave API.
   • Metodo HTTP: seleziona POST.
3. Nella sezione Chiave di accesso, inserisci i seguenti dettagli:
   • Intestazione della chiave segreta: <HEADER_NAME_FOR_SECRET> con valore <YOUR_SECRET_KEY>
   • Suggerimenti per il buffering: imposta Dimensione buffer = 1 MiB, Intervallo buffer = 60 secondi.
   • Compressione: seleziona Disattivata.
   • Backup S3: seleziona Disattivato.
   • Lascia le impostazioni di riprova e registrazione come predefinite.
4. Fai clic su Crea stream di pubblicazione.

Configura le autorizzazioni IAM e iscriviti al gruppo di log

1. Nella console AWS, vai a IAM > Policy > Crea policy > JSON.

2. Incolla il seguente JSON della policy, sostituendo <region> e <account-id> con la tua regione AWS e il tuo ID account:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "firehose:PutRecord",
           "firehose:PutRecordBatch"
         ],
         "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
       }
     ]
   }
   

   1. Assegna un nome alla policy CWLtoFirehoseWrite e fai clic su Crea policy.
   2. Vai a IAM > Ruoli > Crea ruolo.
   3. Seleziona Policy di attendibilità personalizzata e incolla:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "logs.<your-region>.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. Allega la policy CWLtoFirehoseWrite al ruolo.

4. Assegna al ruolo il nome CWLtoFirehoseRole e fai clic su Crea ruolo.

5. Vai a CloudWatch > Logs > Log groups.

6. Seleziona il gruppo di log di destinazione.

7. Apri la scheda Filtri delle iscrizioni e fai clic su Crea.

8. Scegli Crea filtro di sottoscrizione Amazon Kinesis Data Firehose.

9. Fornisci i seguenti dettagli di configurazione:

   • Destinazione: seleziona lo stream di distribuzione cwlogs-to-secops.
   • Concedi autorizzazione: scegli il ruolo CWLtoFirehoseRole.
   • Nome filtro: inserisci all-events.
   • Lascia vuoto Pattern filtro per inviare tutti gli eventi.

10. Fai clic su Avvia streaming.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.