Mengumpulkan log AWS Config
Dokumen ini menjelaskan cara membuat bucket S3 baru untuk menyimpan log CloudTrail dan cara membuat pengguna IAM untuk mengambil feed log dari AWS. AWS Config memberikan tampilan mendetail tentang konfigurasi resource AWS di akun AWS Anda. Hal ini mencakup bagaimana hubungan antar-resource dan bagaimana konfigurasi resource tersebut di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
Mengonfigurasi bucket CloudTrail dan AWS S3
- Login ke AWS Management Console.
- Buka konsol Amazon S3.
- Di konsol AWS, telusuri Cloudtrail.
- Klik Buat jalur.
- Berikan Nama jejak.
- Pilih Buat bucket S3 baru (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Klik Berikutnya.
Pilih Jenis peristiwa dan tambahkan Peristiwa data.
Klik Berikutnya.
Tinjau setelan, lalu klik Buat jejak audit.
Di konsol AWS, cari S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.
Klik Copy S3 URI dan simpan.
Mengonfigurasi Logging Panggilan API AWS Config
- Di AWS, buka AWS Config > Siapkan AWS Config.
- Pilih jenis bucket (pilih detail bucket yang ada atau buat bucket baru).
- Pilih semua aturan yang dikelola AWS yang diperlukan, lalu klik Berikutnya untuk memilih bucket.
- Lihat AWS Config untuk mengetahui detail tentang jenis aturan guna membantu Anda memilih aturan yang sesuai berdasarkan persyaratan Anda:
- Aturan kepatuhan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource tersebut memenuhi standar kepatuhan atau persyaratan peraturan.
- Aturan konfigurasi: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa konfigurasi tersebut memenuhi standar konfigurasi yang diperlukan.
- Aturan performa: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource dioptimalkan untuk performa.
- Aturan keamanan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource tersebut memenuhi standar atau persyaratan keamanan.
- Klik Create config.
- Buka Amazon S3.
- Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.
- Klik Copy S3 URI dan simpan.
Mengonfigurasi Pengguna IAM AWS
- Di konsol AWS, telusuri IAM.
- Klik Pengguna.
- Klik Tambahkan Pengguna.
- Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
- Pilih Kunci akses - Akses terprogram sebagai jenis kredensial AWS.
- Klik Berikutnya: Izin.
- Pilih Lampirkan kebijakan yang ada secara langsung.
- Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
- Klik Berikutnya: Tanda.
- Opsional: Tambahkan tag jika diperlukan.
- Klik Berikutnya: Tinjau.
- Tinjau konfigurasi, lalu klik Buat pengguna.
- Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed AWS Config
- Klik paket Amazon Cloud Platform.
- Cari jenis log AWS Config.
Tentukan nilai di kolom berikut.
- Jenis Sumber: Amazon SQS V2
- Nama Antrean: Nama antrean SQS yang akan dibaca
- URI S3: URI bucket.
s3://your-log-bucket-name/
- Ganti
your-log-bucket-name
dengan nama sebenarnya bucket S3 Anda.
- Ganti
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.
Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Pemetaan UDM
Kolom log | Pemetaan UDM | Logika |
---|---|---|
ARN | target.resource.id | Nilai diambil dari kolom ARN . |
awsAccountId | principal.user.userid | Nilai diambil dari kolom awsAccountId . |
awsRegion | target.asset.location.country_or_region | Nilai diambil dari kolom awsRegion . |
configurationItem.awsAccountId | principal.user.userid | Nilai diambil dari kolom configurationItem.awsAccountId . |
configurationItem.configurationItemCaptureTime | target.asset.attribute.creation_time | Nilai diambil dari kolom configurationItem.configurationItemCaptureTime dan dikonversi menjadi stempel waktu. |
configurationItem.configurationItemStatus | target.asset.attribute.labels.value | Nilai diambil dari kolom configurationItem.configurationItemStatus . Kuncinya disetel ke "Status Item Konfigurasi". |
configurationItem.relationships.name | additional.fields.value.list_value.values.string_value | Nilai diambil dari kolom configurationItem.relationships.name . Kunci ditetapkan ke "configurationItem.relationships.resource_names". |
configurationItem.relationships.resourceId | additional.fields.value.list_value.values.string_value | Nilai diambil dari kolom configurationItem.relationships.resourceId . Kuncinya ditetapkan ke "configurationItem.relationships.resource_ids". |
configurationItem.relationships.resourceType | additional.fields.value.list_value.values.string_value | Nilai diambil dari kolom configurationItem.relationships.resourceType . Kuncinya ditetapkan ke "configurationItem.relationships.resource_types". |
configurationItem.resourceId | target.resource.id | Nilai diambil dari kolom configurationItem.resourceId . |
configurationItem.resourceType | target.resource.resource_subtype | Nilai diambil dari kolom configurationItem.resourceType . |
T/A | metadata.event_type | Jika configurationItemDiff.changeType adalah "UPDATE", metadata.event_type ditetapkan ke "RESOURCE_WRITTEN". Jika configurationItemDiff.changeType adalah "CREATE", metadata.event_type ditetapkan ke "RESOURCE_CREATION". Jika configurationItem.configurationItemStatus adalah "OK" atau "ResourceDiscovered", metadata.event_type ditetapkan ke "RESOURCE_READ". Jika configurationItem.configurationItemStatus adalah "ResourceDeleted", metadata.event_type ditetapkan ke "RESOURCE_DELETION". Jika tidak satu pun kondisi ini terpenuhi, metadata.event_type akan disetel ke "GENERIC_EVENT". |
T/A | metadata.log_type | Tetapkan ke "AWS_CONFIG". |
T/A | metadata.product_name | Tetapkan ke "AWS Config". |
T/A | metadata.vendor_name | Tetapkan ke "AMAZON". |
T/A | target.asset.attribute.cloud.environment | Tetapkan ke "AMAZON_WEB_SERVICES". |
T/A | target.resource.resource_type | Tetapkan ke "VIRTUAL_MACHINE". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.