Recopila registros de AWS Key Management Service

Compatible con:

En este documento, se explica cómo transferir registros del servicio de administración de claves (KMS) de AWS a Google Security Operations. AWS KMS es un servicio completamente administrado que te permite crear y controlar las claves de encriptación que se usan para encriptar tus datos. Esta integración ayuda a supervisar y auditar el uso de las claves de encriptación.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS.

Configura Amazon S3 y IAM

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Guarda el Nombre y la Región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Cómo crear un usuario de IAM.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la Clave de acceso y la Clave de acceso secreta para usarlas más tarde.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura CloudTrail para AWS KMS

  1. Accede a la consola de administración de AWS.
  2. En la barra de búsqueda, escribe y selecciona CloudTrail en la lista de servicios.
  3. Haz clic en Crear sendero.
  4. Proporciona un Nombre del seguimiento (por ejemplo, KMS-Activity-Trail).
  5. Selecciona la casilla de verificación Habilitar para todas las cuentas de mi organización.
  6. Escribe el URI del bucket de S3 que creaste antes (el formato debe ser s3://your-log-bucket-name/) o crea un bucket de S3 nuevo.
  7. Si está habilitada la SSE-KMS, proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
  8. Puedes dejar el resto de la configuración predeterminada.
  9. Haz clic en Siguiente.
  10. Selecciona Eventos de administración y Eventos de datos en Tipos de eventos.
  11. Haz clic en Siguiente.
  12. Revisa la configuración en Revisar y crear.
  13. Haz clic en Crear sendero.
  14. Opcional: Si creaste un bucket nuevo, continúa con el siguiente proceso:
    1. Ve a S3.
    2. Identifica y selecciona el bucket de registros que creaste.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdalo.

Configura un feed en Google SecOps para transferir registros de AWS KMS

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS KMS).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona AWS KMS como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real del bucket.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
data.detail.awsRegion principal.location.country_or_region Se asigna directamente desde el campo data.detail.awsRegion en el registro sin formato.
data.detail.eventCategory security_result.category_details Se asigna directamente desde el campo data.detail.eventCategory en el registro sin formato.
data.detail.eventName metadata.product_event_type Se asigna directamente desde el campo data.detail.eventName en el registro sin formato. Este campo determina el valor de metadata.event_type según la lógica: si eventName es "Decrypt" o "Encrypt", entonces event_type es "USER_RESOURCE_ACCESS", si eventName es "GenerateDataKey", entonces event_type es "USER_RESOURCE_CREATION", de lo contrario, event_type es "GENERIC_EVENT".
data.detail.requestID additional.fields.key El valor está codificado en "requestID" en el código del analizador.
data.detail.requestID additional.fields.value.string_value Se asigna directamente desde el campo data.detail.requestID en el registro sin formato.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key El valor está codificado en "encryptionAlgorithm" en el código del analizador.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Se asigna directamente desde el campo data.detail.requestParameters.encryptionAlgorithm en el registro sin formato.
data.detail.resources.ARN target.resource.id Se asigna directamente desde el campo data.detail.resources.ARN en el registro sin formato.
data.detail.resources.type target.resource.resource_subtype Se asigna directamente desde el campo data.detail.resources.type en el registro sin formato.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key El valor está codificado como "mfaAuthenticated" en el código del analizador.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated en el registro sin formato.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.sessionIssuer.principalId en el registro sin formato.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.sessionIssuer.userName en el registro sin formato.
data.detail.userIdentity.type principal.user.attribute.roles.name Se asigna directamente desde el campo data.detail.userIdentity.type en el registro sin formato.
data.id metadata.product_log_id Se asigna directamente desde el campo data.id en el registro sin formato.
data.time metadata.event_timestamp.seconds Es el valor de segundos de la marca de tiempo analizada del campo data.time en el registro sin procesar.
N/A metadata.event_type La lógica del analizador deriva este campo según el valor de data.detail.eventName: si eventName es "Decrypt" o "Encrypt", entonces event_type es "USER_RESOURCE_ACCESS", si eventName es "GenerateDataKey", entonces event_type es "USER_RESOURCE_CREATION", de lo contrario, event_type es "GENERIC_EVENT".
N/A metadata.log_type El valor está codificado como "AWS_KMS" en el código del analizador.
N/A metadata.product_name El valor está codificado como "Servicio de administración de claves de AWS" en el código del analizador.
N/A metadata.vendor_name El valor está codificado como "AMAZON" en el código del analizador.
N/A principal.asset.attribute.cloud.environment El valor está codificado en "AMAZON_WEB_SERVICES" en el código del analizador.

Cambios

2022-05-27

  • Mejora:
  • Se modificó el valor almacenado en metadata.product_name a "Servicio de administración de claves de AWS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.