Raccogliere i log di AWS Config

Supportato in:

Questo documento spiega come creare un nuovo bucket S3 per archiviare i log di CloudTrail e come creare un utente IAM per recuperare i feed di log da AWS. AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. Sono incluse le relazioni tra le risorse e la loro configurazione passata, in modo da poter vedere come le configurazioni e le relazioni cambiano nel tempo.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS.

Configura CloudTrail e il bucket AWS S3

  1. Accedi alla Console di gestione AWS.
  2. Vai alla console Amazon S3.
  3. Nella console AWS, cerca CloudTrail.
  4. Fai clic su Crea percorso.
  5. Fornisci un nome del sentiero.
  6. Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).

  7. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.

  8. Fai clic su Avanti.

  9. Scegli Tipo di evento e aggiungi Eventi di dati.

  10. Fai clic su Avanti.

  11. Rivedi le impostazioni e fai clic su Crea traccia.

  12. Nella console AWS, cerca Bucket S3.

  13. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.

  14. Fai clic su Copia URI S3 e salvalo.

Configurare il logging delle chiamate all'API AWS Config

  1. In AWS, vai a AWS Config > Configura AWS Config.
  2. Seleziona il tipo di bucket (seleziona i dettagli del bucket esistente o creane uno nuovo).
  3. Seleziona tutte le regole gestite da AWS richieste e fai clic su Avanti per selezionare un bucket.
  4. Consulta AWS Config per informazioni dettagliate sui tipi di regole che ti aiuteranno a selezionare la regola appropriata in base ai tuoi requisiti:
    • Regole di conformità: consentono di valutare le configurazioni delle risorse per assicurarsi che soddisfino gli standard di conformità o i requisiti normativi.
    • Regole di configurazione: consentono di valutare le configurazioni delle risorse per assicurarsi che soddisfino gli standard di configurazione richiesti.
    • Regole di rendimento: consentono di valutare le configurazioni delle risorse per assicurarsi che siano ottimizzate per il rendimento.
    • Regole di sicurezza: consentono di valutare le configurazioni delle risorse per assicurarsi che soddisfino gli standard o i requisiti di sicurezza.
  5. Fai clic su Crea configurazione.
  6. Vai ad Amazon S3.
  7. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.
  8. Fai clic su Copia URI S3 e salvalo.

Configura l'utente AWS IAM

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti.
  3. Fai clic su Aggiungi utenti.
  4. Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
  5. Seleziona Access key - Programmatic access (Chiave di accesso - Accesso programmatico) come tipo di credenziale AWS.
  6. Fai clic su Successivo: autorizzazioni.
  7. Seleziona Collega direttamente i criteri esistenti.
  8. Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Fai clic su Avanti: tag.
  2. (Facoltativo) Aggiungi eventuali tag, se necessario.
  3. Fai clic su Successivo: esamina.
  4. Rivedi la configurazione e fai clic su Crea utente.
  5. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.

Configura un feed in Google SecOps per importare i log di AWS Config

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log AWS Config).
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona AWS Config come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3:/BUCKET_NAME
        • Sostituisci BUCKET_NAME con il nome effettivo del bucket.
    • L'URI è un: seleziona URI_TYPE in base alla configurazione dello stream di log (File singolo | Directory | Directory che include sottodirectory).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Mappatura UDM

Campo log Mappatura UDM Logica
ARN target.resource.id Il valore viene preso dal campo ARN.
awsAccountId principal.user.userid Il valore viene preso dal campo awsAccountId.
awsRegion target.asset.location.country_or_region Il valore viene preso dal campo awsRegion.
configurationItem.awsAccountId principal.user.userid Il valore viene preso dal campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Il valore viene preso dal campo configurationItem.configurationItemCaptureTime e convertito in un timestamp.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Il valore viene preso dal campo configurationItem.configurationItemStatus. La chiave è impostata su "Configuration Item Status".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Il valore viene preso dal campo configurationItem.relationships.name. La chiave è impostata su "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Il valore viene preso dal campo configurationItem.relationships.resourceId. La chiave è impostata su "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Il valore viene preso dal campo configurationItem.relationships.resourceType. La chiave è impostata su "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id Il valore viene preso dal campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype Il valore viene preso dal campo configurationItem.resourceType.
N/D metadata.event_type Se configurationItemDiff.changeType è "UPDATE", metadata.event_type è impostato su "RESOURCE_WRITTEN". Se configurationItemDiff.changeType è "CREATE", metadata.event_type è impostato su "RESOURCE_CREATION". Se configurationItem.configurationItemStatus è "OK" o "ResourceDiscovered", metadata.event_type viene impostato su "RESOURCE_READ". Se configurationItem.configurationItemStatus è "ResourceDeleted", metadata.event_type è impostato su "RESOURCE_DELETION". Se nessuna di queste condizioni è soddisfatta, metadata.event_type viene impostato su "GENERIC_EVENT".
N/D metadata.log_type Impostato su "AWS_CONFIG".
N/D metadata.product_name Imposta su "AWS Config".
N/D metadata.vendor_name Impostato su "AMAZON".
N/D target.asset.attribute.cloud.environment Imposta su "AMAZON_WEB_SERVICES".
N/D target.resource.resource_type Impostato su "VIRTUAL_MACHINE".

Modifiche

2024-02-22

  • I dati precedentemente archiviati in campi specifici relativi a "configurationItem.relationships" sono stati spostati in un campo più generale denominato "additional.fields".

2022-05-27

  • Ora l'interprete etichetta esplicitamente l'output come proveniente da "AWS Config".

2022-03-30

  • È stato migliorato il modo in cui lo parser gestisce le informazioni "relationship.resourceId", in modo che funzioni in più tipi di log.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.