Collecter les journaux AWS Config

Compatible avec:

Ce document explique comment créer un bucket S3 pour stocker les journaux CloudTrail et comment créer un utilisateur IAM pour récupérer les flux de journaux d'AWS. AWS Config fournit une vue détaillée de la configuration des ressources AWS de votre compte AWS. Cela inclut la relation entre les ressources et la façon dont elles ont été configurées par le passé, afin que vous puissiez voir comment les configurations et les relations évoluent au fil du temps.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS.

Configurer CloudTrail et le bucket AWS S3

  1. Connectez-vous à l'AWS Management Console.
  2. Accédez à la console Amazon S3.
  3. Dans la console AWS, recherchez Cloudtrail.
  4. Cliquez sur Créer un parcours.
  5. Indiquez un nom de sentier.
  6. Sélectionnez Créer un bucket S3 (vous pouvez également choisir d'utiliser un bucket S3 existant).

  7. Attribuez un nom à l'alias AWS KMS ou choisissez une clé AWS KMS existante.

  8. Cliquez sur Suivant.

  9. Sélectionnez Type d'événement, puis ajoutez Événements de données.

  10. Cliquez sur Suivant.

  11. Vérifiez les paramètres, puis cliquez sur Créer un parcours.

  12. Dans la console AWS, recherchez S3 Buckets (Buckets S3).

  13. Cliquez sur le bucket de journaux nouvellement créé, puis sélectionnez le dossier AWSLogs.

  14. Cliquez sur Copier l'URI S3, puis enregistrez-le.

Configurer la journalisation des appels d'API AWS Config

  1. Dans AWS, accédez à AWS Config > Configurer AWS Config.
  2. Sélectionnez le type de bucket (sélectionnez les détails du bucket existant ou créez-en un).
  3. Sélectionnez toutes les règles gérées par AWS requises, puis cliquez sur Suivant pour sélectionner un bucket.
  4. Consultez AWS Config pour en savoir plus sur les types de règles et vous aider à sélectionner la règle appropriée en fonction de vos exigences :
    • Règles de conformité: permettent d'évaluer les configurations des ressources pour vous assurer qu'elles respectent les normes de conformité ou les exigences réglementaires.
    • Règles de configuration: permettent d'évaluer les configurations des ressources pour vous assurer qu'elles répondent aux normes de configuration requises.
    • Règles de performances: permettent d'évaluer les configurations des ressources pour s'assurer qu'elles sont optimisées pour les performances.
    • Règles de sécurité: permettent d'évaluer les configurations des ressources pour s'assurer qu'elles répondent aux normes ou exigences de sécurité.
  5. Cliquez sur Créer une configuration.
  6. Accédez à Amazon S3.
  7. Cliquez sur le bucket de journaux nouvellement créé, puis sélectionnez le dossier AWSLogs.
  8. Cliquez sur Copier l'URI S3, puis enregistrez-le.

Configurer un utilisateur IAM AWS

  1. Dans la console AWS, recherchez IAM.
  2. Cliquez sur Utilisateurs.
  3. Cliquez sur Ajouter des utilisateurs.
  4. Attribuez un nom à l'utilisateur (par exemple, "chronicle-feed-user").
  5. Sélectionnez Clé d'accès - Accès programmatique comme type d'identifiants AWS.
  6. Cliquez sur Next: Permissions (Suivant : Autorisations).
  7. Sélectionnez Joindre directement des règles existantes.
  8. Sélectionnez AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
  1. Cliquez sur Next: Tags (Suivant : Tags).
  2. (Facultatif) Ajoutez des tags si nécessaire.
  3. Cliquez sur Suivant : Relire.
  4. Vérifiez la configuration, puis cliquez sur Créer un utilisateur.
  5. Copiez l'ID de clé d'accès et la clé d'accès secrète de l'utilisateur créé.

Configurer un flux dans Google SecOps pour ingérer les journaux AWS Config

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, "Journaux de configuration AWS").
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez AWS Config comme Type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3: URI du bucket.
      • s3:/BUCKET_NAME
        • Remplacez BUCKET_NAME par le nom réel du bucket.
    • L'URI est: sélectionnez URI_TYPE en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.
    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Mappage UDM

Champ du journal Mappage UDM Logique
ARN target.resource.id La valeur est extraite du champ ARN.
awsAccountId principal.user.userid La valeur est extraite du champ awsAccountId.
awsRegion target.asset.location.country_or_region La valeur est extraite du champ awsRegion.
configurationItem.awsAccountId principal.user.userid La valeur est extraite du champ configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time La valeur est extraite du champ configurationItem.configurationItemCaptureTime et convertie en code temporel.
configurationItem.configurationItemStatus target.asset.attribute.labels.value La valeur est extraite du champ configurationItem.configurationItemStatus. La clé est définie sur "État de l'élément de configuration".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value La valeur est extraite du champ configurationItem.relationships.name. La clé est définie sur "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value La valeur est extraite du champ configurationItem.relationships.resourceId. La clé est définie sur "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value La valeur est extraite du champ configurationItem.relationships.resourceType. La clé est définie sur "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id La valeur est extraite du champ configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype La valeur est extraite du champ configurationItem.resourceType.
N/A metadata.event_type Si configurationItemDiff.changeType est "UPDATE", metadata.event_type est défini sur "RESOURCE_WRITTEN". Si configurationItemDiff.changeType est défini sur "CREATE", metadata.event_type est défini sur "RESOURCE_CREATION". Si configurationItem.configurationItemStatus est défini sur "OK" ou "ResourceDiscovered", metadata.event_type est défini sur "RESOURCE_READ". Si configurationItem.configurationItemStatus est "ResourceDeleted", metadata.event_type est défini sur "RESOURCE_DELETION". Si aucune de ces conditions n'est remplie, metadata.event_type est défini sur "GENERIC_EVENT".
N/A metadata.log_type Définissez-le sur "AWS_CONFIG".
N/A metadata.product_name Définissez-le sur "AWS Config".
N/A metadata.vendor_name Définissez-le sur "AMAZON".
N/A target.asset.attribute.cloud.environment Définissez-le sur "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Définissez-le sur "VIRTUAL_MACHINE".

Modifications

2024-02-22

  • Les données précédemment stockées dans des champs spécifiques liés à "configurationItem.relationships" ont été déplacées vers un champ plus général appelé "additional.fields".

2022-05-27

  • L'analyseur indique désormais explicitement que sa sortie provient d'AWS Config.

2022-03-30

  • Amélioration de la façon dont l'analyseur gère les informations "relationship.resourceId", ce qui permet de l'utiliser pour plus de types de journaux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.