Coletar registros do AWS Config

Compatível com:

Este documento explica como criar um bucket do S3 para armazenar os logs do CloudTrail e como criar um usuário do IAM para extrair os feeds de registro da AWS. O AWS Config fornece uma visão detalhada da configuração de recursos da AWS na sua conta da AWS. Isso inclui como os recursos estão relacionados entre si e como eles foram configurados no passado para que você possa saber como as configurações e as relações mudam ao longo do tempo.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à AWS.

Configurar o CloudTrail e o bucket do AWS S3

  1. Faça login no console de Gerenciamento da AWS.
  2. Acesse o console do Amazon S3.
  3. No console da AWS, pesquise Cloudtrail.
  4. Clique em Criar trilha.
  5. Informe o nome do percurso.
  6. Selecione Criar bucket do S3. Você também pode usar um bucket do S3 existente.

  7. Informe um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.

  8. Clique em Próxima.

  9. Escolha Tipo de evento e adicione Eventos de dados.

  10. Clique em Próxima.

  11. Revise as configurações e clique em Criar trilha.

  12. No console da AWS, pesquise Buckets do S3.

  13. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.

  14. Clique em Copiar URI do S3 e salve.

Configurar o registro de chamadas de API do AWS Config

  1. Na AWS, acesse AWS Config > Configurar o AWS Config.
  2. Selecione o tipo de bucket (selecione os detalhes de um bucket atual ou crie um novo).
  3. Selecione todas as regras gerenciadas pela AWS necessárias e clique em Próxima para selecionar um bucket.
  4. Consulte a AWS Config para detalhes sobre os tipos de regra que ajudam a selecionar a regra adequada com base nos seus requisitos:
    • Regras de compliance: permitem avaliar as configurações dos recursos para garantir que elas atendam aos padrões de compliance ou aos requisitos regulamentares.
    • Regras de configuração: permitem avaliar as configurações dos recursos para garantir que elas atendam aos padrões de configuração necessários.
    • Regras de performance: permitem avaliar as configurações dos recursos para garantir que elas sejam otimizadas para desempenho.
    • Regras de segurança: permitem avaliar as configurações de recursos para garantir que elas atendam aos padrões ou requisitos de segurança.
  5. Clique em Criar configuração.
  6. Acesse o Amazon S3.
  7. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.
  8. Clique em Copiar URI do S3 e salve.

Configurar o usuário do AWS IAM

  1. No console da AWS, pesquise IAM.
  2. Clique em Usuários.
  3. Clique em Adicionar usuários.
  4. Informe um nome para o usuário (por exemplo, chronicle-feed-user).
  5. Selecione Chave de acesso: acesso programático como o tipo de credencial da AWS.
  6. Clique em Next: Permissions.
  7. Selecione Anexar políticas atuais diretamente.
  8. Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
  1. Clique em Avançar: tags.
  2. Opcional: adicione tags, se necessário.
  3. Clique em PRÓXIMO: REVISAR.
  4. Revise a configuração e clique em Criar usuário.
  5. Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado.

Configure um feed no Google SecOps para processar os registros do AWS Config

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, "AWS Config Logs").
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione AWS Config como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3:/BUCKET_NAME
        • Substitua BUCKET_NAME pelo nome real do bucket.
    • URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registro (Arquivo único | Diretório | Diretório que inclui subdiretórios).
    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Mapeamento do UDM

Campo de registro Mapeamento de UDM Lógica
ARN target.resource.id O valor é retirado do campo ARN.
awsAccountId principal.user.userid O valor é retirado do campo awsAccountId.
awsRegion target.asset.location.country_or_region O valor é retirado do campo awsRegion.
configurationItem.awsAccountId principal.user.userid O valor é retirado do campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time O valor é retirado do campo configurationItem.configurationItemCaptureTime e convertido em um carimbo de data/hora.
configurationItem.configurationItemStatus target.asset.attribute.labels.value O valor é retirado do campo configurationItem.configurationItemStatus. A chave está definida como "Status do item de configuração".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.name. A chave é definida como "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.resourceId. A chave é definida como "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.resourceType. A chave é definida como "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id O valor é retirado do campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype O valor é retirado do campo configurationItem.resourceType.
N/A metadata.event_type Se configurationItemDiff.changeType for "UPDATE", metadata.event_type será definido como "RESOURCE_WRITTEN". Se configurationItemDiff.changeType for "CREATE", metadata.event_type será definido como "RESOURCE_CREATION". Se configurationItem.configurationItemStatus for "OK" ou "ResourceDiscovered", metadata.event_type será definido como "RESOURCE_READ". Se configurationItem.configurationItemStatus for "ResourceDeleted", metadata.event_type será definido como "RESOURCE_DELETION". Se nenhuma dessas condições for atendida, metadata.event_type será definido como "GENERIC_EVENT".
N/A metadata.log_type Defina como "AWS_CONFIG".
N/A metadata.product_name Defina como "AWS Config".
N/A metadata.vendor_name Defina como "AMAZON".
N/A target.asset.attribute.cloud.environment Defina como "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Defina como "VIRTUAL_MACHINE".

Alterações

2024-02-22

  • Os dados armazenados anteriormente em campos específicos relacionados a "configurationItem.relationships" foram movidos para um campo mais geral chamado "additional.fields".

2022-05-27

  • Agora, o analisador rotula explicitamente a saída como proveniente da "AWS Config".

2022-03-30

  • Melhoria na forma como o analisador processa as informações "relationship.resourceId", fazendo com que ele funcione em mais tipos de registro.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.