收集 AWS CloudWatch 日志

本文档介绍了如何使用 Amazon S3 或 Amazon Kinesis Data Firehose 将 AWS CloudWatch 日志注入到 Google Security Operations。AWS CloudWatch 是一项监控和可观测性服务，可收集日志、指标和事件形式的运营数据。通过此集成，您可以将这些日志发送到 Google SecOps 以进行分析和监控。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• 对 AWS 的特权访问权限

使用 AWS S3 配置 CloudWatch 日志导出

为了将最新的 CloudWatch 日志注入到 S3 中，您需要定期执行此导出流程。

创建 Amazon S3 存储桶

我们建议使用专门为 CloudWatch 日志创建的存储桶。

1. 打开 Amazon S3 控制台。
2. 如有需要，您可以更改地区。
   • 在导航栏中，选择 CloudWatch Logs 所在的区域。
3. 点击创建存储分区。
   • 存储桶名称：为存储桶输入一个有意义的名称。
   • 区域：选择 CloudWatch Logs 数据所在的区域。
   • 点击创建。

创建对 Amazon S3 和 CloudWatch Logs 具有完全访问权限的 IAM 用户

1. 打开 IAM 控制台。
2. 依次点击用户 > 创建用户。
3. 在用户名字段中输入一个名称（例如 CWExport）。
4. 同时选择以程序化方式访问和 AWS 管理控制台访问。
5. 选择自动生成的密码或自定义密码。
6. 点击 Next: Permissions。
7. 选择 Attach existing policies directly。
8. 搜索并选择要向用户授予的 AmazonS3FullAccess 和 CloudWatchLogsFullAccess 政策。
9. 点击 Next: Tags。
10. 点击下一步：检查。
11. 点击创建用户。

配置 Amazon S3 存储桶的权限

1. 在 Amazon S3 控制台中，选择您之前创建的存储桶。
2. 依次点击权限 > 存储分区政策。

3. 在存储分区政策编辑器中，添加以下政策。

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. 更改并更新以下 json 变量：

   • 将 cw-exported-logs 更改为您的 S3 存储桶的名称。
   • 将 random-string 更改为随机生成的字符串。
   • 请务必为 Principal 指定正确的区域端点。

5. 点击保存。

配置 CloudWatch 导出

1. 以您之前创建的 IAM 用户的身份登录。
2. 打开 CloudWatch 控制台。
3. 在导航菜单中，选择日志组。
4. 选择现有日志组的名称，或创建一个新的日志组。
5. 依次选择操作 > 将数据导出到 Amazon S3。
6. 在将数据导出到 Amazon S3 界面上，找到定义数据导出。

7. 使用开始时间和结束时间设置要导出的数据的时间范围。

8. 选择 S3 存储桶：选择与 Amazon S3 存储桶关联的账号。

9. S3 存储桶名称：选择一个 Amazon S3 存储桶。

10. S3 存储桶前缀：输入您在存储桶政策中指定的随机生成的字符串。

11. 选择导出，将日志数据导出到 Amazon S3。

12. 如需查看导出到 Amazon S3 的日志数据的状态，请依次选择操作 > 查看所有导出到 Amazon S3 的数据。

在 Google SecOps 中配置 Feed 以注入 AWS CloudWatch 日志

1. 依次前往 SIEM 设置> Feed。
2. 点击添加新 Feed。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 AWS CloudWatch Logs）。
4. 选择 Amazon S3 V2 作为来源类型。
5. 选择 AWS CloudWatch 作为日志类型。
6. 点击下一步。

7. 为以下输入参数指定值：

   • S3 URI：存储桶 URI
   • s3://your-log-bucket-name/
     • 将 your-log-bucket-name 替换为存储桶的实际名称。

   • 来源删除选项：根据您的偏好设置选择删除选项。

   • 文件最长保留时间：默认值为 180 天。

   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。

   • 私有访问密钥：具有 S3 存储桶访问权限的用户私有密钥。

   • 资产命名空间：资产命名空间。

   • 注入标签：要应用于此 Feed 中事件的标签。

8. 点击下一步。

9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

使用 AWS Data Firehose 配置 CloudWatch 日志导出

初始设置后，无需定期执行此导出流程。

在 Google SecOps 中配置 Feed 以注入 AWS CloudWatch 日志

1. 依次前往 SIEM 设置> Feed。
2. 点击 + 添加新 Feed。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 AWS CloudWatch Logs）。
4. 选择 Amazon Data Firehose 作为来源类型。
5. 选择 AWS CloudWatch 作为日志类型。
6. 点击下一步。
7. 为以下输入参数指定值：
   • 拆分分隔符：可选 \n。
   • 资产命名空间：资产命名空间。
   • 注入标签：要应用于此 Feed 中事件的标签。
8. 点击下一步。
9. 检查 Feed 配置，然后点击提交。
10. 点击生成密钥，生成用于对此 Feed 进行身份验证的密钥。
11. 复制并保存此密钥，因为您无法再次查看此值。
12. 前往详细信息标签页。
13. 从端点信息字段复制 Feed 端点网址。
14. 点击完成。

为 Amazon Data Firehose Feed 创建 API 密钥

1. 前往 Google Cloud 控制台的“凭据”页面。
2. 点击创建凭据，然后选择 API 密钥。
3. 将 API 密钥的访问权限限制为 Google SecOps API。

指定端点网址

如需在 Amazon Data Firehose 中指定 HTTPS 端点和访问密钥，请按以下步骤操作：

1. 将 API 密钥附加到 Feed 端点网址，并按以下格式指定此网址作为 HTTP 端点网址：

   ENDPOINT_URL?key=API_KEY
   

   • 替换以下内容：

     • ENDPOINT_URL：Feed 端点网址。
     • API_KEY：用于向 Google SecOps 进行身份验证的 API 密钥。

对于访问密钥，请指定您在创建 Amazon Data Firehose Feed 时获得的私有密钥。

将 Amazon Kinesis Data Firehose 配置为 Google SecOps {:#configure-kinesis-secops}。

1. 在 AWS 控制台中，依次前往 Kinesis > Data Firehose > 创建交付流。
2. 提供以下配置详细信息：
   • 来源：选择直接 PUT 或其他来源。
   • 目的地：选择 HTTP 端点。
   • HTTP 端点网址：输入 Google SecOps 提供的包含 API 密钥的 Feed HTTPS 端点网址。
   • HTTP 方法：选择 POST。
3. 在访问密钥下，输入以下详细信息：
   • 密钥标头：<HEADER_NAME_FOR_SECRET>，值为 <YOUR_SECRET_KEY>
   • 缓冲提示：将缓冲大小设置为 1 MiB，将缓冲间隔设置为 60 秒。
   • 压缩：选择已停用。
   • S3 备份：选择已停用。
   • 将重试和日志记录设置保留为默认。
4. 点击创建交付数据流。

配置 IAM 权限并订阅日志组

1. 在 AWS 控制台中，依次前往 IAM > 政策 > 创建政策 > JSON。

2. 粘贴以下政策 JSON，并将 <region> 和 <account-id> 替换为您的 AWS 区域和账号 ID：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "firehose:PutRecord",
           "firehose:PutRecordBatch"
         ],
         "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
       }
     ]
   }
   

   1. 为政策命名 CWLtoFirehoseWrite，然后点击创建政策。
   2. 依次前往 IAM > 角色 > 创建角色。
   3. 选择 Custom trust policy（自定义信任政策），然后粘贴：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "logs.<your-region>.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. 将政策 CWLtoFirehoseWrite 附加到角色。

4. 将角色命名为 CWLtoFirehoseRole，然后点击创建角色。

5. 依次前往 CloudWatch > 日志 > 日志组。

6. 选择目标日志组。

7. 打开订阅过滤条件标签页，然后点击创建。

8. 选择创建 Amazon Kinesis Data Firehose 订阅过滤条件。

9. 提供以下配置详细信息：

   • 目标位置：选择传送数据流 cwlogs-to-secops。
   • 授予权限：选择角色 CWLtoFirehoseRole。
   • 过滤条件名称：输入 all-events。
   • 将过滤模式留空即可发送所有事件。

10. 点击开始直播。

UDM 映射表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。