AWS Config-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie einen neuen S3-Bucket zum Speichern der CloudTrail-Protokolle und einen IAM-Nutzer zum Abrufen der Protokollfeeds von AWS erstellen. AWS Config bietet eine detaillierte Ansicht der Konfiguration von AWS-Ressourcen in Ihrem AWS-Konto. Dazu gehört auch, wie die Ressourcen miteinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit ändern.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für AWS.

CloudTrail und AWS S3-Bucket konfigurieren

  1. Melden Sie sich in der AWS Management Console an.
  2. Rufen Sie die Amazon S3-Konsole auf.
  3. Suchen Sie in der AWS-Konsole nach Cloudtrail.
  4. Klicken Sie auf Weg erstellen.
  5. Geben Sie einen Wegnamen an.
  6. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.

  7. Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.

  8. Klicken Sie auf Weiter.

  9. Wählen Sie Ereignistyp aus und fügen Sie Datenereignisse hinzu.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die Einstellungen und klicken Sie auf Pfad erstellen.

  12. Suchen Sie in der AWS-Konsole nach S3-Buckets.

  13. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.

  14. Klicken Sie auf S3-URI kopieren und speichern Sie sie.

Logging von AWS Config API-Aufrufen konfigurieren

  1. Gehen Sie in AWS zu AWS-Konfiguration > AWS-Konfiguration einrichten.
  2. Wählen Sie den Bucket-Typ aus. Sie können entweder die Details eines vorhandenen Buckets auswählen oder einen neuen erstellen.
  3. Wählen Sie alle erforderlichen von AWS verwalteten Regeln aus und klicken Sie auf Weiter, um einen Bucket auszuwählen.
  4. Weitere Informationen zu Regeltypen finden Sie in AWS Config. So können Sie die richtige Regel für Ihre Anforderungen auswählen:
    • Compliance-Regeln: Mit diesen Regeln können Sie die Konfigurationen von Ressourcen prüfen, um sicherzustellen, dass sie Compliance-Standards oder behördliche Anforderungen erfüllen.
    • Mit Konfigurationsregeln können Sie die Konfigurationen von Ressourcen prüfen, um sicherzustellen, dass sie die erforderlichen Konfigurationsstandards erfüllen.
    • Leistungsregeln: Mit diesen Regeln können Sie die Konfiguration von Ressourcen prüfen, um sicherzustellen, dass sie leistungsoptimiert sind.
    • Sicherheitsregeln: Mit diesen Regeln können Sie die Konfigurationen von Ressourcen prüfen, um sicherzustellen, dass sie die Sicherheitsstandards oder ‑anforderungen erfüllen.
  5. Klicken Sie auf Konfiguration erstellen.
  6. Rufen Sie Amazon S3 auf.
  7. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.
  8. Klicken Sie auf S3-URI kopieren und speichern Sie sie.

AWS IAM-Nutzer konfigurieren

  1. Suchen Sie in der AWS Console nach IAM.
  2. Klicken Sie auf Nutzer.
  3. Klicken Sie auf Nutzer hinzufügen.
  4. Gib einen Namen für den Nutzer an, z. B. „chronicle-feed-user“.
  5. Wählen Sie als AWS-Anmeldedatentyp Zugriffsschlüssel – programmatischer Zugriff aus.
  6. Klicken Sie auf Next: Permissions.
  7. Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
  8. Wählen Sie AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus.
  1. Klicken Sie auf Weiter: Tags.
  2. Optional: Fügen Sie bei Bedarf Tags hinzu.
  3. Klicken Sie auf Weiter: Überprüfen.
  4. Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
  5. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers.

Feed in Google SecOps für die Aufnahme von AWS-Konfigurationslogs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. „AWS-Konfigurationsprotokolle“.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie „AWS-Konfiguration“ als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI.
      • s3:/BUCKET_NAME
        • Ersetzen Sie BUCKET_NAME durch den tatsächlichen Namen des Buckets.
    • URI ist: Wählen Sie den URI_TYPE gemäß der Logstream-Konfiguration aus (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
ARN target.resource.id Der Wert wird aus dem Feld ARN übernommen.
awsAccountId principal.user.userid Der Wert wird aus dem Feld awsAccountId übernommen.
awsRegion target.asset.location.country_or_region Der Wert wird aus dem Feld awsRegion übernommen.
configurationItem.awsAccountId principal.user.userid Der Wert wird aus dem Feld configurationItem.awsAccountId übernommen.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Der Wert wird aus dem Feld configurationItem.configurationItemCaptureTime übernommen und in einen Zeitstempel umgewandelt.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Der Wert wird aus dem Feld configurationItem.configurationItemStatus übernommen. Der Schlüssel ist auf „Konfigurationselementstatus“ festgelegt.
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.name übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_names“ festgelegt.
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.resourceId übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_ids“ festgelegt.
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.resourceType übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_types“ festgelegt.
configurationItem.resourceId target.resource.id Der Wert wird aus dem Feld configurationItem.resourceId übernommen.
configurationItem.resourceType target.resource.resource_subtype Der Wert wird aus dem Feld configurationItem.resourceType übernommen.
metadata.event_type Wenn configurationItemDiff.changeType „UPDATE“ ist, wird metadata.event_type auf „RESOURCE_WRITTEN“ gesetzt. Wenn configurationItemDiff.changeType „CREATE“ ist, wird metadata.event_type auf „RESOURCE_CREATION“ festgelegt. Wenn configurationItem.configurationItemStatus „OK“ oder „ResourceDiscovered“ ist, wird metadata.event_type auf „RESOURCE_READ“ gesetzt. Wenn configurationItem.configurationItemStatus „ResourceDeleted“ ist, wird metadata.event_type auf „RESOURCE_DELETION“ gesetzt. Wenn keine dieser Bedingungen erfüllt ist, wird metadata.event_type auf „GENERIC_EVENT“ gesetzt.
metadata.log_type Legen Sie diesen Wert auf „AWS_CONFIG“ fest.
metadata.product_name Legen Sie diesen Wert auf „AWS Config“ fest.
metadata.vendor_name Legen Sie diesen Wert auf „AMAZON“ fest.
target.asset.attribute.cloud.environment Legen Sie diesen Wert auf „AMAZON_WEB_SERVICES“ fest.
target.resource.resource_type Legen Sie diesen Wert auf „VIRTUAL_MACHINE“ fest.

Änderungen

2024-02-22

  • Daten, die zuvor in bestimmten Feldern im Zusammenhang mit „configurationItem.relationships“ gespeichert waren, wurden in ein allgemeineres Feld namens „additional.fields“ verschoben.

2022-05-27

  • Der Parser kennzeichnet seine Ausgabe jetzt explizit als „AWS Config“.

2022-03-30

  • Die Verarbeitung der Informationen „relationship.resourceId“ durch den Parser wurde verbessert, sodass er jetzt mit mehr Protokolltypen funktioniert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten