Recoger registros de AWS Key Management Service

Disponible en:

En este documento se explica cómo ingerir registros de AWS Key Management Service (KMS) en Google Security Operations. AWS KMS es un servicio totalmente gestionado que le permite crear y controlar las claves de cifrado que se usan para cifrar sus datos. Esta integración ayuda a monitorizar y auditar el uso de las claves de cifrado.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configurar Amazon S3 e IAM

  1. Crea un segmento de Amazon S3 siguiendo esta guía del usuario: Crear un segmento.
  2. Guarda el nombre y la región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Cómo configurar CloudTrail para AWS KMS

  1. Inicia sesión en la consola de administración de AWS.
  2. En la barra de búsqueda, escriba y seleccione CloudTrail en la lista de servicios.
  3. Haz clic en Crear recorrido.
  4. Proporcione un nombre de registro de auditoría (por ejemplo, KMS-Activity-Trail).
  5. Selecciona la casilla Habilitar en todas las cuentas de mi organización.
  6. Escribe el URI del segmento de S3 que has creado antes (el formato debe ser s3://your-log-bucket-name/) o crea un segmento de S3.
  7. Si SSE-KMS está habilitado, proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS.
  8. Puedes dejar el resto de los ajustes como predeterminados.
  9. Haz clic en Siguiente.
  10. En Tipos de evento, selecciona Eventos de gestión y Eventos de datos.
  11. Haz clic en Siguiente.
  12. Revisa los ajustes en Revisar y crear.
  13. Haz clic en Crear recorrido.
  14. Opcional: Si has creado un nuevo contenedor, sigue estos pasos:
    1. Ve a S3.
    2. Identifica y selecciona el segmento de registro que acabas de crear.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdalo.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS Key Management Service

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busca el tipo de registro AWS Key Management Service.

  3. Especifique los valores en los campos siguientes.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
    • URI de S3: el URI del segmento.
      • s3://your-log-bucket-name/
        • Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
data.detail.awsRegion principal.location.country_or_region Se asigna directamente desde el campo data.detail.awsRegion del registro sin procesar.
data.detail.eventCategory security_result.category_details Se asigna directamente desde el campo data.detail.eventCategory del registro sin procesar.
data.detail.eventName metadata.product_event_type Se asigna directamente desde el campo data.detail.eventName del registro sin procesar. Este campo determina el valor de metadata.event_type según la siguiente lógica: si eventName es "Decrypt" o "Encrypt", event_type es "USER_RESOURCE_ACCESS"; si eventName es "GenerateDataKey", event_type es "USER_RESOURCE_CREATION"; en cualquier otro caso, event_type es "GENERIC_EVENT".
data.detail.requestID additional.fields.key El valor se ha codificado como "requestID" en el código del analizador.
data.detail.requestID additional.fields.value.string_value Se asigna directamente desde el campo data.detail.requestID del registro sin procesar.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key El valor se ha codificado como "encryptionAlgorithm" en el código del analizador.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Se asigna directamente desde el campo data.detail.requestParameters.encryptionAlgorithm del registro sin procesar.
data.detail.resources.ARN target.resource.id Se asigna directamente desde el campo data.detail.resources.ARN del registro sin procesar.
data.detail.resources.type target.resource.resource_subtype Se asigna directamente desde el campo data.detail.resources.type del registro sin procesar.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key El valor se codifica como "mfaAuthenticated" en el código del analizador.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated del registro sin procesar.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.sessionIssuer.principalId del registro sin procesar.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Se asigna directamente desde el campo data.detail.userIdentity.sessionContext.sessionIssuer.userName del registro sin procesar.
data.detail.userIdentity.type principal.user.attribute.roles.name Se asigna directamente desde el campo data.detail.userIdentity.type del registro sin procesar.
data.id metadata.product_log_id Se asigna directamente desde el campo data.id del registro sin procesar.
data.time metadata.event_timestamp.seconds El valor de los segundos de la marca de tiempo analizada a partir del campo data.time del registro sin procesar.
N/A metadata.event_type Este campo se deriva de la lógica del analizador en función del valor de data.detail.eventName: si eventName es "Decrypt" o "Encrypt", event_type es "USER_RESOURCE_ACCESS"; si eventName es "GenerateDataKey", event_type es "USER_RESOURCE_CREATION"; en caso contrario, event_type es "GENERIC_EVENT".
N/A metadata.log_type El valor se ha codificado como "AWS_KMS" en el código del analizador.
N/A metadata.product_name El valor se ha codificado como "AWS Key Management Service" en el código del analizador.
N/A metadata.vendor_name El valor se codifica como "AMAZON" en el código del analizador.
N/A principal.asset.attribute.cloud.environment El valor se ha codificado como "AMAZON_WEB_SERVICES" en el código del analizador.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.