Recolha registos de instâncias do AWS EC2

Este documento explica como configurar os registos de instâncias do AWS EC2 no Google Security Operations para monitorização e análise. O analisador extrai dados dos registos JSON de reserva de instâncias, reestrutura e muda o nome dos campos para estarem em conformidade com o UDM, processando vários tipos de dados e estruturas aninhadas, incluindo interfaces de rede, grupos e etiquetas, ao mesmo tempo que gera relações de recursos e metadados. Também realiza o processamento de erros e a rejeição de mensagens JSON com formato incorreto.

Antes de começar

• Certifique-se de que tem uma instância do Google SecOps.
• Certifique-se de que tem acesso privilegiado à AWS.

Configure o AWS IAM e o S3

1. Crie um contentor do Amazon S3 seguindo este guia do utilizador: Criar um contentor.
2. Guarde o Nome e a Região do contentor para utilização posterior.
3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como o Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione uma etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Configure o EC2 para enviar registos para o CloudWatch Logs

1. Use o SSH para se ligar à sua instância do EC2, fornecendo o seu par de chaves para autenticação.

   ssh -i your-key.pem ec2-user@your-ec2-public-ip
   

2. Instale o agente do CloudWatch Logs:

   • Para instalar o agente do CloudWatch Logs no Amazon Linux, use o seguinte comando:

   sudo yum install -y awslogs
   

   • Para instalar o agente do CloudWatch Logs no Ubuntu, use o seguinte comando:

   sudo apt-get install -y awslogs
   

3. Abra o ficheiro de configuração dos registos do CloudWatch:

   sudo vi /etc/awslogs/awslogs.conf
   

4. Crie um script que obtenha estes metadados da instância de registo e os escreva num ficheiro:

   #!/bin/bash
   echo "Architecture: $(curl -s http://169.254.169.254/latest/meta-data/architecture)" >> /var/log/instance_metadata.log
   echo "AmiLaunchIndex: $(curl -s http://169.254.169.254/latest/meta-data/ami-launch-index)" >> /var/log/instance_metadata.log
   echo "BootMode: $(curl -s http://169.254.169.254/latest/meta-data/boot-mode)" >> /var/log/instance_metadata.log
   

5. Guarde o script como /etc/init.d/metadata_script.sh e execute-o no arranque da instância através de crontab ou rc.local.

6. Abra o ficheiro de configuração do agente do CloudWatch Logs:

   sudo vi /etc/awslogs/awslogs.conf
   

7. Adicione o seguinte ao ficheiro de configuração:

   [/var/log/messages]
   file = /var/log/messages
   log_group_name = /ec2/system/logs
   log_stream_name = {instance_id}
   
   [/var/log/secure]
   file = /var/log/secure
   log_group_name = /ec2/security/logs
   log_stream_name = {instance_id}
   
   [/var/log/auth.log]
   file = /var/log/auth.log
   log_group_name = /ec2/auth/logs
   log_stream_name = {instance_id}
   
   [/var/log/httpd/access_log]
   file = /var/log/httpd/access_log
   log_group_name = /ec2/application/apache/access_logs
   log_stream_name = {instance_id}
   
   [/var/log/httpd/error_log]
   file = /var/log/httpd/error_log
   log_group_name = /ec2/application/apache/error_logs
   log_stream_name = {instance_id}
   

8. Guarde a configuração e saia do editor.

9. Inicie o agente do CloudWatch Logs:

   • No Amazon Linux:

   sudo service awslogs start
   

   • No Ubuntu:

   sudo service awslogs start
   

10. Verifique se o agente está em execução:

    sudo service awslogs status
    

Configure as autorizações da IAM para o Lambda e o S3

1. Na consola do IAM do AWS, crie uma nova função do IAM com as seguintes autorizações:

   • logs:PutSubscriptionFilter
   • logs:DescribeLogGroups
   • logs:GetLogEvents
   • s3:PutObject

2. Anexe esta função à sua função Lambda que vai exportar os registos para o S3.

Configure o Lambda para exportar registos para o S3

1. Aceda à consola do Lambda e crie uma nova função.

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='your-s3-bucket-name',
           Key='logs/ec2-log.gz',
           Body=compressed_data
       )
     ```
   

   • Substitua your-s3-bucket-name pelo nome real do seu contentor do S3.

2. Anexe a função IAM à função Lambda criada anteriormente.

3. Na consola do CloudWatch, aceda à secção Registos.

4. Selecione o grupo de registos; por exemplo, /ec2/system/logs.

5. Clique em Ações > Criar filtro de subscrição.

6. Defina o destino para a função Lambda criada anteriormente.

Configure um feed no Google SecOps para carregar registos de instâncias do AWS EC2

1. Aceda a Definições do SIEM > Feeds.
2. Clique em Adicionar novo.
3. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de instâncias do AWS EC2.
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Instância do AWS EC2 como o Tipo de registo.
6. Clicar em Seguinte.

7. Especifique valores para os seguintes parâmetros de entrada:

   • URI do S3: o URI do contentor.
     • s3://your-log-bucket-name/
       • Substitua your-log-bucket-name pelo nome real do contentor.

   • Opções de eliminação da origem: selecione a opção de eliminação de acordo com a sua preferência.

   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

   • ID da chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3.

   • Chave de acesso secreta: a chave secreta do utilizador com acesso ao contentor do S3.

   • Espaço de nomes do recurso: o espaço de nomes do recurso.

   • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.

8. Clicar em Seguinte.

9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.