Coletar registros do AWS CloudWatch

Neste documento, explicamos como ingerir registros do AWS CloudWatch no Google Security Operations usando o Amazon S3 ou o Amazon Kinesis Data Firehose. O AWS CloudWatch é um serviço de monitoramento e observabilidade que coleta dados operacionais na forma de registros, métricas e eventos. Com essa integração, é possível enviar esses registros ao Google SecOps para análise e monitoramento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Acesso privilegiado à AWS

Configurar a exportação de registros do CloudWatch usando o AWS S3

Esse processo de exportação precisa ser feito regularmente para que os registros mais recentes do CloudWatch sejam ingeridos no S3.

Criar um bucket do Amazon S3

Recomendamos usar um bucket criado especificamente para registros do CloudWatch.

1. Abra o console do Amazon S3.
2. Se necessário, mude a Região.
   • Na barra de navegação, selecione a região em que os registros do CloudWatch estão localizados.
3. Clique em Criar bucket.
   • Nome do bucket: insira um nome significativo para o bucket.
   • Região: selecione a região em que seus dados do CloudWatch Logs estão localizados.
   • Clique em Criar.

Criar um usuário do IAM com acesso total ao Amazon S3 e ao CloudWatch Logs

1. Abra o console do IAM.
2. Clique em Usuários > Criar usuário.
3. Insira um nome no campo Nome de usuário (por exemplo, CWExport).
4. Selecione Acesso programático e Acesso ao console de gerenciamento da AWS.
5. Selecione Senha gerada automaticamente ou Senha personalizada.
6. Clique em Next: Permissions.
7. Escolha Anexar políticas atuais diretamente.
8. Pesquise e selecione as políticas AmazonS3FullAccess e CloudWatchLogsFullAccess para o usuário.
9. Clique em Avançar: tags.
10. Clique em PRÓXIMO: REVISAR.
11. Clique em Criar usuário.

Configurar permissões no bucket do Amazon S3

1. No console do Amazon S3, escolha o bucket que você criou anteriormente.
2. Clique em Permissões > Política do bucket.

3. No Editor de políticas do bucket, adicione a política a seguir.

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Mude e atualize as seguintes variáveis json:

   • Mude cw-exported-logs para o nome do seu bucket do S3.
   • Mude random-string para uma string de caracteres gerada aleatoriamente.
   • Especifique o endpoint da região correto para o Principal.

5. Clique em Salvar.

Configurar a exportação do CloudWatch

1. Faça login como o usuário do IAM que você criou anteriormente.
2. Abra o console do CloudWatch.
3. No menu de navegação, selecione Grupos de registros.
4. Selecione o nome de um grupo de registros ou crie um novo.
5. Escolha Ações > Exportar dados para o Amazon S3.
6. Na tela Exportar dados para o Amazon S3, localize Definir exportação de dados.

7. Defina o período dos dados a serem exportados usando De e Até.

8. Escolher bucket do S3: selecione a conta associada ao bucket do Amazon S3.

9. Nome do bucket do S3: selecione um bucket do Amazon S3.

10. Prefixo do bucket do S3: insira a string gerada aleatoriamente que você especificou na política do bucket.

11. Escolha Exportar para exportar os dados de registro para o Amazon S3.

12. Para conferir o status dos dados de registro que você exportou para o Amazon S3, selecione Ações > Ver todas as exportações para o Amazon S3.

Configurar um feed no Google SecOps para ingerir registros do AWS CloudWatch

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, AWS CloudWatch Logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione AWS CloudWatch como o Tipo de registro.
6. Clique em Próxima.

7. Especifique valores para os seguintes parâmetros de entrada:

   • URI do S3: o URI do bucket
   • s3://your-log-bucket-name/
     • Substitua your-log-bucket-name pelo nome real do bucket.

   • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

   • Idade máxima do arquivo: padrão de 180 dias.

   • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.

   • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

   • Namespace do recurso: o namespace do recurso.

   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

8. Clique em Próxima.

9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar a exportação de registros do CloudWatch usando o AWS Data Firehose

Não é necessário fazer esse processo de exportação regularmente após a configuração inicial.

Configurar um feed no Google SecOps para ingerir registros do Amazon CloudWatch

1. Acesse Configurações do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, AWS CloudWatch Logs).
4. Selecione Amazon Data Firehose como o Tipo de origem.
5. Selecione AWS CloudWatch como o Tipo de registro.
6. Clique em Próxima.
7. Especifique valores para os seguintes parâmetros de entrada:
   • Delimitador de divisão: \n opcional.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
8. Clique em Próxima.
9. Revise a configuração do feed e clique em Enviar.
10. Clique em Gerar chave secreta para autenticar o feed.
11. Copie e salve a chave secreta, porque não será possível ver esse valor novamente.
12. Acesse a guia Detalhes.
13. Copie o URL do endpoint do feed no campo Informações do endpoint.
14. Clique em Concluído.

Criar uma chave de API para o feed do Amazon Data Firehose

1. Acesse a página Credenciais do console Google Cloud.
2. Clique em Criar credenciais e selecione Chave de API.
3. Restrinja o acesso da chave de API à API Google SecOps.

Especifique o URL do endpoint

Para especificar o endpoint HTTPS e a chave de acesso no Amazon Data Firehose, siga estas etapas:

1. Acrescente a chave de API ao URL do endpoint do feed e especifique esse URL como o URL do endpoint HTTP no seguinte formato:

   ENDPOINT_URL?key=API_KEY
   

   • Substitua:

     • ENDPOINT_URL: o URL do endpoint do feed.
     • API_KEY: a chave de API para autenticar no Google SecOps.

Para a chave de acesso, especifique a chave secreta que você recebeu ao criar o feed do Amazon Data Firehose.

Configure o Amazon Kinesis Data Firehose para o Google SecOps {:#configure-kinesis-secops}.

1. No console da AWS, acesse Kinesis > Data Firehose > Criar fluxo de entrega.
2. Informe os seguintes detalhes de configuração:
   • Origem: selecione PUT direto ou outras origens.
   • Destino: escolha Endpoint HTTP.
   • URL do endpoint HTTP: insira o URL do endpoint HTTPS do feed do Google SecOps com a chave de API.
   • Método HTTP: selecione POST.
3. Em Chave de acesso, insira os seguintes detalhes:
   • Cabeçalho da chave secreta: <HEADER_NAME_FOR_SECRET> com valor <YOUR_SECRET_KEY>
   • Dicas de buffer: defina Tamanho do buffer = 1 MiB, Intervalo do buffer = 60 segundos.
   • Compactação: selecione Desativada.
   • Backup do S3: selecione Desativado.
   • Deixe as configurações de retry e logging como default.
4. Clique em Criar fluxo de entrega.

Configurar permissões do IAM e inscrever o grupo de registros

1. No console da AWS, acesse IAM > Políticas > Criar política > JSON.

2. Cole o seguinte JSON de política, substituindo <region> e <account-id> pela sua região da AWS e ID da conta:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "firehose:PutRecord",
           "firehose:PutRecordBatch"
         ],
         "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
       }
     ]
   }
   

   1. Nomeie a política como CWLtoFirehoseWrite e clique em Criar política.
   2. Acesse IAM > Papéis > Criar papel.
   3. Selecione Política de confiança personalizada e cole:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "logs.<your-region>.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. Anexe a política CWLtoFirehoseWrite à função.

4. Nomeie a função como CWLtoFirehoseRole e clique em Criar função.

5. Acesse CloudWatch > Registros > Grupos de registros.

6. Selecione o grupo de registros de destino.

7. Abra a guia Filtros de assinatura e clique em Criar.

8. Escolha Criar filtro de assinatura do Amazon Kinesis Data Firehose.

9. Informe os seguintes detalhes de configuração:

   • Destino: selecione o fluxo de exibição cwlogs-to-secops.
   • Conceder permissão: escolha o papel CWLtoFirehoseRole.
   • Nome do filtro: insira all-events.
   • Deixe Padrão de filtro em branco para enviar todos os eventos.

10. Clique em Iniciar streaming.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.