Recopila registros de AWS Config

Compatible con:

En este documento, se explica cómo crear un bucket de S3 nuevo para almacenar los registros de CloudTrail y cómo crear un usuario de IAM para recuperar los feeds de registros de AWS. AWS Config proporciona una vista detallada de la configuración de los recursos de AWS en tu cuenta de AWS. Esto incluye cómo se relacionan entre sí los recursos y cómo se configuraron en el pasado para que puedas ver cómo cambian las configuraciones y las relaciones con el tiempo.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS.

Configura CloudTrail y el bucket de S3 de AWS

  1. Accede a la consola de administración de AWS.
  2. Ve a la consola de Amazon S3.
  3. En la consola de AWS, busca Cloudtrail.
  4. Haz clic en Crear sendero.
  5. Proporciona un nombre para el sendero.
  6. Selecciona Crear bucket de S3 nuevo (también puedes usar un bucket de S3 existente).

  7. Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.

  8. Haz clic en Siguiente.

  9. Elige Tipo de evento y agrega Eventos de datos.

  10. Haz clic en Siguiente.

  11. Revisa la configuración y haz clic en Crear ruta.

  12. En la consola de AWS, busca Buckets de S3.

  13. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs.

  14. Haz clic en Copiar URI de S3 y guárdalo.

Configura el registro de llamadas a la API de AWS Config

  1. En AWS, ve a AWS Config > Configurar AWS Config.
  2. Selecciona el tipo de bucket (selecciona los detalles del bucket existente o crea uno nuevo).
  3. Selecciona todas las reglas administradas por AWS obligatorias y haz clic en Siguiente para seleccionar un bucket.
  4. Consulta AWS Config para obtener detalles sobre los tipos de reglas que te ayudarán a seleccionar la regla adecuada según tus requisitos:
    • Reglas de cumplimiento: Permiten evaluar la configuración de los recursos para garantizar que cumplan con los estándares de cumplimiento o los requisitos reglamentarios.
    • Reglas de configuración: Permiten evaluar las configuraciones de los recursos para garantizar que cumplan con los estándares de configuración requeridos.
    • Reglas de rendimiento: Permiten evaluar las configuraciones de los recursos para garantizar que estén optimizadas para el rendimiento.
    • Reglas de seguridad: Permiten evaluar las configuraciones de los recursos para garantizar que cumplan con los estándares o requisitos de seguridad.
  5. Haz clic en Crear configuración.
  6. Ve a Amazon S3.
  7. Haz clic en el bucket de registros creado recientemente y selecciona la carpeta AWSLogs.
  8. Haz clic en Copiar URI de S3 y guárdalo.

Configura el usuario de IAM de AWS

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios.
  3. Haz clic en Agregar usuarios.
  4. Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
  5. Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
  6. Haz clic en Next: Permissions.
  7. Selecciona Adjuntar las políticas existentes de forma directa.
  8. Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Haz clic en Siguiente: Etiquetas.
  2. Opcional: Agrega etiquetas si es necesario.
  3. Click Siguiente: Revisar.
  4. Revisa la configuración y haz clic en Crear usuario.
  5. Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.

Configura un feed en Google SecOps para transferir los registros de AWS Config

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Config).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona AWS Config como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3:/BUCKET_NAME
        • Reemplaza BUCKET_NAME por el nombre real del bucket.
    • URI es un: Selecciona URI_TYPE según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.
    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
ARN target.resource.id El valor se toma del campo ARN.
awsAccountId principal.user.userid El valor se toma del campo awsAccountId.
awsRegion target.asset.location.country_or_region El valor se toma del campo awsRegion.
configurationItem.awsAccountId principal.user.userid El valor se toma del campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time El valor se toma del campo configurationItem.configurationItemCaptureTime y se convierte en una marca de tiempo.
configurationItem.configurationItemStatus target.asset.attribute.labels.value El valor se toma del campo configurationItem.configurationItemStatus. La clave se establece en "Estado del elemento de configuración".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.name. La clave se establece en "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceId. La clave se establece en "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceType. La clave se establece en "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id El valor se toma del campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype El valor se toma del campo configurationItem.resourceType.
N/A metadata.event_type Si configurationItemDiff.changeType es "UPDATE", metadata.event_type se establece en "RESOURCE_WRITTEN". Si configurationItemDiff.changeType es "CREATE", metadata.event_type se establece en "RESOURCE_CREATION". Si configurationItem.configurationItemStatus es "OK" o "ResourceDiscovered", metadata.event_type se establece en "RESOURCE_READ". Si configurationItem.configurationItemStatus es "ResourceDeleted", metadata.event_type se establece en "RESOURCE_DELETION". Si no se cumple ninguna de estas condiciones, metadata.event_type se establece en "GENERIC_EVENT".
N/A metadata.log_type Establece el valor en "AWS_CONFIG".
N/A metadata.product_name Configúralo como "AWS Config".
N/A metadata.vendor_name Se establece en "AMAZON".
N/A target.asset.attribute.cloud.environment Configúralo como "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Establece el valor en "VIRTUAL_MACHINE".

Cambios

2024-02-22

  • Se movieron los datos que se almacenaban anteriormente en campos específicos relacionados con "configurationItem.relationships" a un campo más general llamado "additional.fields".

2022-05-27

  • El analizador ahora etiqueta de forma explícita su salida como proveniente de "AWS Config".

2022-03-30

  • Se mejoró la forma en que el analizador controla la información de "relationship.resourceId", lo que permite que funcione en más tipos de registros.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.