收集 AWS Config 記錄

支援的國家/地區:

本文說明如何建立新的 S3 bucket 來儲存 CloudTrail 記錄,以及如何建立 IAM 使用者,從 AWS 擷取記錄饋給。AWS Config 可詳細查看 AWS 帳戶中 AWS 資源的設定。包括資源之間的關聯,以及資源過去的設定方式,方便您瞭解設定和關係如何隨時間變化。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 CloudTrail 和 AWS S3 值區

  1. 登入 AWS 管理主控台。
  2. 前往 Amazon S3 主控台
  3. 在 AWS 控制台中,搜尋 Cloudtrail
  4. 按一下「建立路徑」
  5. 提供「Trail name」(追蹤記錄名稱)
  6. 選取「Create new S3 bucket」(建立新的 S3 bucket) (您也可以選擇使用現有的 S3 bucket)。

  7. 提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰。

  8. 點選「下一步」

  9. 選擇「事件類型」並新增「資料事件」

  10. 點選「下一步」

  11. 檢查設定,然後按一下「建立追蹤記錄」

  12. 在 AWS 控制台中,搜尋 S3 值區

  13. 按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。

  14. 按一下「複製 S3 URI」並儲存。

設定 AWS Config API 呼叫記錄

  1. 在 AWS 中,依序前往「AWS Config」>「Set up AWS Config」
  2. 選取 bucket 類型 (選取現有 bucket 詳細資料或建立新的 bucket)。
  3. 選取所有必要的 AWS 管理規則,然後按一下「下一步」選取值區。
  4. 請參閱 AWS Config,瞭解規則類型詳情,根據需求選取合適的規則:
    • 法規遵循規則:評估資源的設定,確保符合法規遵循標準或法規要求。
    • 設定規則:可評估資源設定,確保符合必要的設定標準。
    • 成效規則:評估資源設定,確保資源已針對成效進行最佳化。
    • 安全規則:評估資源設定,確保符合安全標準或規定。
  5. 按一下「建立設定」
  6. 前往 Amazon S3
  7. 按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。
  8. 按一下「複製 S3 URI」並儲存。

設定 AWS IAM 使用者

  1. 在 AWS 控制台中,搜尋「IAM」IAM
  2. 按一下「Users」(使用者)
  3. 按一下「新增使用者」
  4. 為使用者命名 (例如 chronicle-feed-user)。
  5. 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
  6. 點選 [Next: Permissions] (下一步:權限)。
  7. 選取「直接附加現有政策」
  8. 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」
  1. 按一下「下一步:代碼」
  2. 選用:視需要新增任何標記。
  3. 按一下 [下一步:檢閱]
  4. 檢查設定,然後按一下「建立使用者」
  5. 複製所建立使用者的存取金鑰 ID 和存取密鑰。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS Config 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出 AWS Config 記錄檔類型。

  3. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應

記錄欄位 UDM 對應 邏輯
ARN target.resource.id 這個值取自 ARN 欄位。
awsAccountId principal.user.userid 這個值取自 awsAccountId 欄位。
awsRegion target.asset.location.country_or_region 這個值取自 awsRegion 欄位。
configurationItem.awsAccountId principal.user.userid 這個值取自 configurationItem.awsAccountId 欄位。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 這個值取自 configurationItem.configurationItemCaptureTime 欄位,並會轉換為時間戳記。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 這個值取自 configurationItem.configurationItemStatus 欄位。索引鍵設為「Configuration Item Status」。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.name 欄位。索引鍵設為「configurationItem.relationships.resource_names」。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.resourceId 欄位。金鑰設為「configurationItem.relationships.resource_ids」。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.resourceType 欄位。鍵設為「configurationItem.relationships.resource_types」。
configurationItem.resourceId target.resource.id 這個值取自 configurationItem.resourceId 欄位。
configurationItem.resourceType target.resource.resource_subtype 這個值取自 configurationItem.resourceType 欄位。
不適用 metadata.event_type 如果 configurationItemDiff.changeType 為「UPDATE」,metadata.event_type 會設為「RESOURCE_WRITTEN」。如果 configurationItemDiff.changeType 為「CREATE」,metadata.event_type 會設為「RESOURCE_CREATION」。如果 configurationItem.configurationItemStatus 為「OK」或「ResourceDiscovered」,metadata.event_type 會設為「RESOURCE_READ」。如果 configurationItem.configurationItemStatus 為「ResourceDeleted」,則 metadata.event_type 會設為「RESOURCE_DELETION」。如未符合上述任一條件,metadata.event_type 會設為「GENERIC_EVENT」。
不適用 metadata.log_type 設為「AWS_CONFIG」。
不適用 metadata.product_name 設為「AWS Config」。
不適用 metadata.vendor_name 設為「AMAZON」。
不適用 target.asset.attribute.cloud.environment 設為「AMAZON_WEB_SERVICES」。
不適用 target.resource.resource_type 設為「VIRTUAL_MACHINE」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。