收集 AWS Config 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何创建新的 S3 存储桶来存储 CloudTrail 日志,以及如何创建 IAM 用户来从 AWS 检索日志 Feed。AWS Config 可详细查看您 AWS 账号中 AWS 资源的配置。这包括资源之间的关联方式以及它们过去的配置方式,以便您了解配置和关联随时间的变化情况。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 AWS 的特权访问权限
配置 CloudTrail 和 AWS S3 存储桶
- 登录 AWS 管理控制台。
- 前往 Amazon S3 控制台。
- 在 AWS 控制台中,搜索 Cloudtrail。
- 点击创建试验。
- 提供跟踪名称。
- 选择 Create new S3 bucket(您也可以选择使用现有的 S3 存储桶)。
提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。
点击下一步。
选择事件类型并添加数据事件。
点击下一步。
检查设置,然后点击创建轨迹。
在 AWS 控制台中,搜索 S3 存储分区。
点击新创建的日志存储桶,然后选择 AWSLogs 文件夹。
点击复制 S3 URI 并保存。
配置 AWS Config API 调用日志记录
- 在 AWS 中,依次前往 AWS Config > 设置 AWS Config。
- 选择分桶类型(选择现有分桶详细信息或创建新的分桶详细信息)。
- 选择所有必需的 AWS 管理规则,然后点击下一步以选择存储桶。
- 如需详细了解规则类型,以便根据您的需求选择合适的规则,请参阅 AWS Config:
- 合规性规则:用于评估资源的配置,以确保其符合合规性标准或监管要求。
- 配置规则:用于评估资源的配置,以确保其符合所需的配置标准。
- 性能规则:用于评估资源的配置,以确保它们针对性能进行了优化。
- 安全规则:用于评估资源配置,以确保其符合安全标准或要求。
- 点击创建配置。
- 前往 Amazon S3。
- 点击新创建的日志存储桶,然后选择文件夹 AWSLogs。
- 点击复制 S3 URI 并保存。
配置 AWS IAM 用户
- 在 AWS 控制台中,搜索 IAM。
- 点击用户。
- 点击添加用户。
- 为用户提供名称(例如 chronicle-feed-user)。
- 选择 Access key - Programmatic access(访问密钥 - 以程序化方式访问)作为 AWS 凭据类型。
- 点击 Next: Permissions。
- 选择 Attach existing policies directly。
- 选择 AmazonS3ReadOnlyAccess 或 AmazonS3FullAccess。
- 点击 Next: Tags。
- 可选:根据需要添加任何标记。
- 点击下一步:检查。
- 检查配置,然后点击 Create user。
- 复制已创建用户的访问密钥 ID 和私有访问密钥。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 AWS Config Feed
- 点击 Amazon Cloud Platform 包。
- 找到 AWS Config 日志类型。
在以下字段中指定值。
- 来源类型:Amazon SQS V2
- 队列名称:要从中读取数据的 SQS 队列名称
- S3 URI:存储桶 URI。
s3://your-log-bucket-name/
- 将
your-log-bucket-name
替换为您的 S3 存储桶的实际名称。
- 将
源删除选项:根据您的提取偏好设置选择删除选项。
文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。
SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
UDM 映射
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
ARN | target.resource.id | 该值取自 ARN 字段。 |
awsAccountId | principal.user.userid | 该值取自 awsAccountId 字段。 |
awsRegion | target.asset.location.country_or_region | 该值取自 awsRegion 字段。 |
configurationItem.awsAccountId | principal.user.userid | 该值取自 configurationItem.awsAccountId 字段。 |
configurationItem.configurationItemCaptureTime | target.asset.attribute.creation_time | 该值取自 configurationItem.configurationItemCaptureTime 字段,并转换为时间戳。 |
configurationItem.configurationItemStatus | target.asset.attribute.labels.value | 该值取自 configurationItem.configurationItemStatus 字段。键设置为“配置项状态”。 |
configurationItem.relationships.name | additional.fields.value.list_value.values.string_value | 该值取自 configurationItem.relationships.name 字段。键设置为“configurationItem.relationships.resource_names”。 |
configurationItem.relationships.resourceId | additional.fields.value.list_value.values.string_value | 该值取自 configurationItem.relationships.resourceId 字段。该键设置为“configurationItem.relationships.resource_ids”。 |
configurationItem.relationships.resourceType | additional.fields.value.list_value.values.string_value | 该值取自 configurationItem.relationships.resourceType 字段。键设置为“configurationItem.relationships.resource_types”。 |
configurationItem.resourceId | target.resource.id | 该值取自 configurationItem.resourceId 字段。 |
configurationItem.resourceType | target.resource.resource_subtype | 该值取自 configurationItem.resourceType 字段。 |
不适用 | metadata.event_type | 如果 configurationItemDiff.changeType 为“UPDATE”,则将 metadata.event_type 设置为“RESOURCE_WRITTEN”。如果 configurationItemDiff.changeType 为“CREATE”,则将 metadata.event_type 设置为“RESOURCE_CREATION”。如果 configurationItem.configurationItemStatus 为“OK”或“ResourceDiscovered”,则将 metadata.event_type 设置为“RESOURCE_READ”。如果 configurationItem.configurationItemStatus 为“ResourceDeleted”,则将 metadata.event_type 设置为“RESOURCE_DELETION”。如果上述条件均不满足,则将 metadata.event_type 设置为“GENERIC_EVENT”。 |
不适用 | metadata.log_type | 设置为“AWS_CONFIG”。 |
不适用 | metadata.product_name | 设置为“AWS Config”。 |
不适用 | metadata.vendor_name | 设置为“AMAZON”。 |
不适用 | target.asset.attribute.cloud.environment | 设置为“AMAZON_WEB_SERVICES”。 |
不适用 | target.resource.resource_type | 设置为“VIRTUAL_MACHINE”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。