Mengumpulkan log AWS Control Tower

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Control Tower ke Google Security Operations. AWS Control Tower memungkinkan pemantauan tata kelola, kepatuhan, dan keamanan di beberapa akun AWS. Integrasi ini memungkinkan Anda menganalisis log dari AWS Control Tower untuk visibilitas dan postur keamanan yang lebih baik.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess dan CloudWatchLogsFullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi CloudTrail di AWS Control Tower

  1. Login ke AWS Management Console.
  2. Buka AWS Control Tower.
  3. Di kotak penelusuran, ketik CloudTrail dan pilih dari daftar layanan.

  4. Klik Buat Jalur untuk membuat jalur baru.

  5. Tentukan Setelan Jejak:

    • Nama jalur: berikan nama yang bermakna untuk jalur (misalnya, ControlTowerTrail).
    • Terapkan pelacakan ke semua region: pastikan Anda memilih Ya untuk Terapkan pelacakan ke semua region.
    • Peristiwa pengelolaan: Pastikan peristiwa Baca/Tulis disetel ke Semua.
    • Opsional: Peristiwa data: aktifkan peristiwa data S3 dan peristiwa data Lambda untuk merekam aktivitas data mendetail.
    • Opsional: Validasi file log: aktifkan opsi ini untuk memastikan file log tidak dimodifikasi setelah disimpan.

  6. Di pemilih Peristiwa, pilih untuk mencatat Peristiwa pengelolaan dan Peristiwa data.

Mengonfigurasi CloudTrail untuk Mengirim Log ke Bucket S3

  1. Buka Konsol AWS IAM.
  2. Klik Peran.
  3. Telusuri peran yang digunakan CloudTrail AWSServiceRoleForCloudTrail (peran dibuat secara otomatis saat Anda menyiapkan CloudTrail).
  4. Di tab Izin untuk peran, klik Lampirkan kebijakan.
  5. Telusuri CloudTrailS3DeliveryPolicy.
  6. Centang kotak di samping kebijakan CloudTrailS3DeliveryPolicy.
  7. Klik Lampirkan kebijakan.
  8. Buka Konsol CloudTrail AWS.
  9. Di bagian Storage location, pilih S3 sebagai tujuan untuk file log.
  10. Pilih bucket S3 yang Anda buat sebelumnya.
  11. Klik Izinkan saat diminta untuk memberikan izin CloudTrail untuk menulis log ke bucket yang Anda pilih.
  12. Tinjau setelan Anda, lalu klik Buat (atau Simpan perubahan jika Anda mengedit jalur yang ada).

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Control Tower

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, AWS Control Tower Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Control Tower sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
awsAccountId target.user.group_identifiers ID akun AWS yang terkait dengan peristiwa.
digestPublicKeyFingerprint target.file.sha1 Sidik jari kunci publik yang digunakan untuk menandatangani ringkasan.
digestPublicKeyFingerprint target.resource.attribute.labels.value Sidik jari kunci publik yang digunakan untuk menandatangani ringkasan.
digestS3Bucket target.resource.name Nama bucket S3 tempat ringkasan disimpan.
digestS3Object target.file.full_path Jalur ke objek ringkasan di bucket S3.
digestSignatureAlgorithm network.tls.cipher Algoritma yang digunakan untuk menandatangani ringkasan.
digestSignatureAlgorithm target.resource.attribute.labels.value Algoritma yang digunakan untuk menandatangani ringkasan.
digestStartTime metadata.event_timestamp Waktu mulai periode ringkasan. Digunakan sebagai waktu peristiwa jika eventTime tidak tersedia.
eventCategory security_result.category_details Kategori peristiwa.
eventID metadata.product_log_id ID unik peristiwa.
eventName metadata.product_event_type Nama peristiwa.
eventName security_result.summary Nama peristiwa, yang digunakan untuk membuat ringkasan hasil keamanan.
eventSource target.application Sumber peristiwa.
eventTime metadata.event_timestamp Waktu peristiwa terjadi.
eventType additional.fields.value.string_value Jenis peristiwa.
logFiles.hashValue about.file.sha256 Hash SHA-256 file log.
logFiles.s3Bucket about.resource.name Nama bucket S3 tempat file log disimpan.
logFiles.s3Object about.file.full_path Jalur ke objek file log di bucket S3.
previousDigestHashValue target.file.sha256 Hash SHA-256 ringkasan sebelumnya.
recipientAccountId target.resource.attribute.labels.value ID akun AWS penerima peristiwa.
Records.awsRegion principal.location.name Region AWS tempat peristiwa terjadi.
Records.errorCode security_result.rule_id Kode error, jika ada, yang terkait dengan permintaan.
Records.errorMessage security_result.description Pesan error, jika ada, yang terkait dengan permintaan.
Records.eventCategory security_result.category_details Kategori peristiwa.
Records.eventID metadata.product_log_id ID unik peristiwa.
Records.eventName metadata.product_event_type Nama peristiwa.
Records.eventName security_result.summary Nama peristiwa, yang digunakan untuk membuat ringkasan hasil keamanan.
Records.eventSource target.application Sumber peristiwa.
Records.eventTime metadata.event_timestamp Waktu peristiwa terjadi.
Records.eventType additional.fields.value.string_value Jenis peristiwa.
Records.requestID target.resource.attribute.labels.value ID permintaan.
Records.requestParameters.groupName target.group.group_display_name Nama grup, jika ada, yang terkait dengan permintaan.
Records.requestParameters.userName src.user.userid Nama pengguna, jika ada, yang terkait dengan permintaan.
Records.requestParameters.userName src.user.user_display_name Nama pengguna, jika ada, yang terkait dengan permintaan.
Records.responseElements.ConsoleLogin security_action Hasil upaya login konsol.
Records.responseElements.ConsoleLogin security_result.summary Hasil upaya login konsol, yang digunakan untuk membuat ringkasan hasil keamanan.
Records.sourceIPAddress principal.hostname Alamat IP akun utama. Digunakan sebagai nama host jika bukan IP yang valid.
Records.sourceIPAddress principal.ip Alamat IP akun utama.
Records.tlsDetails.cipherSuite network.tls.cipher Cipher suite yang digunakan untuk koneksi TLS.
Records.tlsDetails.tlsVersion network.tls.version Versi TLS yang digunakan untuk koneksi.
Records.userAgent network.http.user_agent Agen pengguna permintaan.
Records.userIdentity.accessKeyId additional.fields.value.string_value ID kunci akses yang digunakan untuk permintaan.
Records.userIdentity.accountId principal.user.group_identifiers ID akun AWS pengguna.
Records.userIdentity.arn principal.user.attribute.labels.value ARN pengguna.
Records.userIdentity.arn target.user.userid ARN pengguna. Digunakan sebagai userid jika userName tidak tersedia.
Records.userIdentity.principalId principal.user.product_object_id ID utama pengguna.
Records.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Apakah MFA digunakan untuk permintaan tersebut.
Records.userIdentity.sessionContext.sessionIssuer.userName principal.user.userid Nama pengguna pengguna yang mengeluarkan sesi.
Records.userIdentity.type principal.resource.type Jenis identitas yang digunakan untuk permintaan.
Records.userIdentity.userName target.user.userid Nama pengguna pengguna.
- extensions.auth.mechanism Tetapkan ke "REMOTE".
- metadata.event_type Tetapkan ke "STATUS_UPDATE", "USER_RESOURCE_ACCESS", "USER_LOGIN", atau "GENERIC_EVENT" berdasarkan eventName.
- metadata.log_type Tetapkan ke "AWS_CONTROL_TOWER".
- metadata.product_name Tetapkan ke "AWS Control Tower".
- metadata.vendor_name Tetapkan ke "AWS".
- principal.asset.attribute.cloud.environment Tetapkan ke "AMAZON_WEB_SERVICES".
- security_result.action Tetapkan ke "ALLOW" atau "BLOCK" berdasarkan errorCode.
- security_result.severity Tetapkan ke "INFORMATIONAL".

Perubahan

2024-03-17

  • Peningkatan:
  • Memetakan "req.userIdentity.arn" dan "req.userIdentity.userName" ke "target.user.userid".

2023-01-04

  • Peningkatan:
  • Variabel yang diinisialisasi untuk menghindari replikasi data dalam loop For.

2022-12-15

  • Peningkatan:
  • Memetakan 'metadata.vendor_name' ke 'AWS'.
  • Memetakan 'metadata.product_name' ke 'AWS Control Tower'.
  • Memetakan 'metadata.event_type' ke 'USER_LOGIN' saat 'eventName' adalah 'ConsoleLogin'.
  • Memetakan 'security_result.severity' ke 'INFORMATIONAL' saat 'eventName' adalah 'ConsoleLogin'.

2022-11-17

  • Peningkatan:
  • Memetakan 'req.userIdentity.userName' dan 'req.userIdentity.sessionContext.sessionIssuer.userName' ke 'target.user.id'.
  • Memetakan 'ConsoleLogin:Success' ke 'security_result.action'.
  • Informasi port yang dipetakan dari 'sourceIPAddress' ke 'principal.port'.

2022-10-31

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.