Recolha registos do AWS CloudWatch

Este documento explica como carregar registos do AWS CloudWatch para o Google Security Operations. O AWS CloudWatch é um serviço de monitorização e observabilidade que recolhe dados operacionais sob a forma de registos, métricas e eventos. Esta integração permite-lhe enviar estes registos para o Google SecOps para análise e monitorização.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Acesso privilegiado ao AWS

Crie um contentor do Amazon S3

Recomendamos que use um contentor criado especificamente para registos do CloudWatch.

1. Abra a consola do Amazon S3.
2. Se necessário, pode alterar a Região.
   • Na barra de navegação, selecione a região onde residem os seus registos do CloudWatch.
3. Clique em Criar contentor.
   • Nome do contentor: introduza um nome significativo para o contentor.
   • Região: selecione a região onde residem os seus dados do CloudWatch Logs.
   • Clique em Criar.

Crie um utilizador do IAM com acesso total ao Amazon S3 e aos registos do CloudWatch

1. Abra a consola do IAM.
2. Clique em Utilizadores > Adicionar utilizador.
3. Introduza um nome de utilizador (por exemplo, CWExport).
4. Selecione Acesso programático e Acesso à AWS Management Console.
5. Selecione Palavra-passe gerada automaticamente ou Palavra-passe personalizada.
6. Clique em Seguinte > Autorizações.
7. Escolha Anexar políticas existentes diretamente.
8. Pesquise e selecione as políticas AmazonS3FullAccess e CloudWatchLogsFullAccess para o utilizador.
9. Clique em Seguinte > Etiquetas.
10. Clique em Seguinte > Rever.
11. Clique em Criar utilizador.

Configure autorizações no contentor do Amazon S3

1. Na consola do Amazon S3, escolha o contentor que criou anteriormente.
2. Clique em Autorizações > Política do contentor.

3. No Editor de políticas de contentores, adicione a seguinte política:

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Altere e atualize as seguintes variáveis json:

   • Altere cw-exported-logs para o nome do seu contentor do S3.
   • Altere random-string para uma string de carateres gerada aleatoriamente.
   • Especifique o ponto final da região correto para Principal.

5. Clique em Guardar para definir a política que acabou de adicionar como a política de acesso no seu contentor.

Como configurar a exportação do CloudWatch

1. Inicie sessão como o utilizador do IAM que criou anteriormente.
2. Abra a consola do CloudWatch.
3. No menu de navegação, selecione Grupos de registos.
4. Selecione o nome de um grupo de registos existente ou crie um novo grupo de registos.
5. Escolha Ações > Exportar dados para o Amazon S3.
6. No ecrã Exporte dados para o Amazon S3, localize Definir exportação de dados.

7. Defina o intervalo de tempo dos dados a exportar através das opções De e Para. A exportação só é realizada durante este período. Se procura um envio contínuo, recomendamos que use uma ferramenta como o Firehose.

8. Escolher contentor do S3: selecione a conta associada ao contentor do Amazon S3.

9. Nome do contentor do S3: selecione um contentor do Amazon S3.

10. Prefixo do contentor do S3: introduza a string gerada aleatoriamente que especificou na política do contentor.

11. Escolha Exportar para exportar os dados de registo para o Amazon S3.

12. Para ver o estado dos dados de registo que exportou para o Amazon S3, selecione Ações > Ver todas as exportações para o Amazon S3.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

• Definições do SIEM > Feeds > Adicionar novo
• Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do AWS CloudWatch

1. Clique no pacote Amazon Cloud Platform.
2. No tipo de registo AWS CloudWatch, especifique os seguintes valores:

3. Especifique valores para os seguintes campos:

   • Tipo de origem: Amazon SQS V2
   • Nome da fila: o nome da fila SQS a partir da qual ler
   • URI do S3: o URI do contentor.
     • s3://your-log-bucket-name/
       • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

   • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

   • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

   Opções avançadas

   • Nome do feed: um valor pré-preenchido que identifica o feed.
   • Espaço de nomes do recurso: espaço de nomes associado ao feed.
   • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.