Mengumpulkan log AWS Config

Didukung di:

Dokumen ini menjelaskan cara membuat bucket S3 baru untuk menyimpan log CloudTrail dan cara membuat pengguna IAM untuk mengambil feed log dari AWS. AWS Config memberikan tampilan mendetail tentang konfigurasi resource AWS di akun AWS Anda. Hal ini mencakup cara resource saling terkait dan cara resource dikonfigurasi sebelumnya sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi CloudTrail dan bucket AWS S3

  1. Login ke AWS Management Console.
  2. Buka konsol Amazon S3.
  3. Di konsol AWS, telusuri Cloudtrail.
  4. Klik Buat jalur.
  5. Berikan Nama jalur.
  6. Pilih Buat bucket S3 baru (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).

  7. Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.

  8. Klik Berikutnya.

  9. Pilih Jenis peristiwa dan tambahkan Peristiwa data.

  10. Klik Berikutnya.

  11. Tinjau setelan, lalu klik Buat jalur.

  12. Di konsol AWS, telusuri S3 Buckets.

  13. Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.

  14. Klik Salin URI S3 dan simpan.

Mengonfigurasi Logging Panggilan AWS Config API

  1. Di AWS, buka AWS Config > Siapkan AWS Config.
  2. Pilih jenis bucket (pilih detail bucket yang ada atau buat bucket baru).
  3. Pilih semua aturan yang dikelola AWS yang diperlukan, lalu klik Next untuk memilih bucket.
  4. Lihat AWS Config untuk mengetahui detail tentang jenis aturan guna membantu Anda memilih aturan yang sesuai berdasarkan persyaratan Anda:
    • Aturan kepatuhan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa konfigurasi tersebut memenuhi standar kepatuhan atau persyaratan peraturan.
    • Aturan konfigurasi: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa konfigurasi tersebut memenuhi standar konfigurasi yang diperlukan.
    • Aturan performa: memungkinkan evaluasi konfigurasi resource untuk memastikan resource tersebut dioptimalkan untuk performa.
    • Aturan keamanan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa konfigurasi tersebut memenuhi standar atau persyaratan keamanan.
  5. Klik Create config.
  6. Buka Amazon S3.
  7. Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.
  8. Klik Salin URI S3 dan simpan.

Mengonfigurasi Pengguna AWS IAM

  1. Di konsol AWS, telusuri IAM.
  2. Klik Pengguna.
  3. Klik Tambahkan Pengguna.
  4. Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
  5. Pilih Access key - Programmatic access sebagai jenis kredensial AWS.
  6. Klik Berikutnya: Izin.
  7. Pilih Lampirkan kebijakan yang ada secara langsung.
  8. Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
  1. Klik Berikutnya: Tanda.
  2. Opsional: Tambahkan tag jika diperlukan.
  3. Klik Berikutnya: Tinjau.
  4. Tinjau konfigurasi, lalu klik Create user.
  5. Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Config

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Config Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Config sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3:/BUCKET_NAME
        • Ganti BUCKET_NAME dengan nama bucket yang sebenarnya.
    • URI adalah: pilih URI_TYPE sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Pemetaan UDM

Kolom log Pemetaan UDM Logika
ARN target.resource.id Nilai diambil dari kolom ARN.
awsAccountId principal.user.userid Nilai diambil dari kolom awsAccountId.
awsRegion target.asset.location.country_or_region Nilai diambil dari kolom awsRegion.
configurationItem.awsAccountId principal.user.userid Nilai diambil dari kolom configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Nilai diambil dari kolom configurationItem.configurationItemCaptureTime dan dikonversi menjadi stempel waktu.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Nilai diambil dari kolom configurationItem.configurationItemStatus. Kunci ditetapkan ke "Status Item Konfigurasi".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.name. Kunci ditetapkan ke "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.resourceId. Kunci ditetapkan ke "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.resourceType. Kunci ditetapkan ke "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id Nilai diambil dari kolom configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype Nilai diambil dari kolom configurationItem.resourceType.
T/A metadata.event_type Jika configurationItemDiff.changeType adalah "UPDATE", metadata.event_type ditetapkan ke "RESOURCE_WRITTEN". Jika configurationItemDiff.changeType adalah "CREATE", metadata.event_type ditetapkan ke "RESOURCE_CREATION". Jika configurationItem.configurationItemStatus adalah "OK" atau "ResourceDiscovered", metadata.event_type ditetapkan ke "RESOURCE_READ". Jika configurationItem.configurationItemStatus adalah "ResourceDeleted", metadata.event_type ditetapkan ke "RESOURCE_DELETION". Jika tidak ada satu pun kondisi ini yang terpenuhi, metadata.event_type akan disetel ke "GENERIC_EVENT".
T/A metadata.log_type Tetapkan ke "AWS_CONFIG".
T/A metadata.product_name Tetapkan ke "AWS Config".
T/A metadata.vendor_name Tetapkan ke "AMAZON".
T/A target.asset.attribute.cloud.environment Tetapkan ke "AMAZON_WEB_SERVICES".
T/A target.resource.resource_type Tetapkan ke "VIRTUAL_MACHINE".

Perubahan

2024-02-22

  • Memindahkan data yang sebelumnya disimpan di kolom tertentu yang terkait dengan "configurationItem.relationships" ke kolom yang lebih umum yang disebut "additional.fields".

2022-05-27

  • Sekarang, parser secara eksplisit melabeli output-nya sebagai berasal dari "AWS Config".

2022-03-30

  • Meningkatkan cara parser menangani informasi "relationship.resourceId", sehingga dapat berfungsi di lebih banyak jenis log.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.