Collecter les journaux AWS Key Management Service

Compatible avec :

Ce document explique comment ingérer les journaux AWS Key Management Service (KMS) dans Google Security Operations. AWS KMS est un service entièrement géré qui vous permet de créer et de contrôler les clés de chiffrement utilisées pour chiffrer vos données. Cette intégration permet de surveiller et d'auditer l'utilisation des clés de chiffrement.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Accès privilégié à AWS

Configurer Amazon S3 et IAM

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer CloudTrail pour AWS KMS

  1. Connectez-vous à l'AWS Management Console.
  2. Dans la barre de recherche, saisissez CloudTrail et sélectionnez-le dans la liste des services.
  3. Cliquez sur Créer un parcours.
  4. Indiquez un nom de journal d'audit (par exemple, KMS-Activity-Trail).
  5. Cochez la case Activer pour tous les comptes de mon organisation.
  6. Saisissez l'URI du bucket S3 créé précédemment (au format s3://your-log-bucket-name/) ou créez-en un.
  7. Si SSE-KMS est activé, indiquez un nom pour l'alias AWS KMS ou choisissez une clé AWS KMS existante.
  8. Vous pouvez conserver les autres paramètres par défaut.
  9. Cliquez sur Suivant.
  10. Sous Types d'événements, sélectionnez Événements de gestion et Événements de données.
  11. Cliquez sur Suivant.
  12. Vérifiez les paramètres dans Vérifier et créer.
  13. Cliquez sur Créer un parcours.
  14. Facultatif : Si vous avez créé un bucket, suivez la procédure suivante :
    1. Accédez à S3.
    2. Identifiez et sélectionnez le bucket de journaux que vous venez de créer.
    3. Sélectionnez le dossier AWSLogs.
    4. Cliquez sur Copier l'URI S3 et enregistrez-le.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux > Ajouter un flux
  • Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux AWS Key Management Service

  1. Cliquez sur le pack Amazon Cloud Platform.
  2. Recherchez le type de journal AWS Key Management Service.
  3. Spécifiez les valeurs des champs suivants.

    • Type de source : Amazon SQS V2
    • Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données
    • URI S3 : URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel de votre bucket S3.
    • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • ID de clé d'accès à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères.

    • Clé d'accès secrète à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères.

    Options avancées

    • Nom du flux : valeur préremplie qui identifie le flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
  4. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Table de mappage UDM

Champ de journal Mappage UDM Logique
data.detail.awsRegion principal.location.country_or_region Directement mappé à partir du champ data.detail.awsRegion dans le journal brut.
data.detail.eventCategory security_result.category_details Directement mappé à partir du champ data.detail.eventCategory dans le journal brut.
data.detail.eventName metadata.product_event_type Directement mappé à partir du champ data.detail.eventName dans le journal brut. Ce champ détermine la valeur metadata.event_type en fonction de la logique suivante : si eventName est "Decrypt" ou "Encrypt", event_type est "USER_RESOURCE_ACCESS" ; si eventName est "GenerateDataKey", event_type est "USER_RESOURCE_CREATION" ; sinon, event_type est "GENERIC_EVENT".
data.detail.requestID additional.fields.key La valeur est codée en dur sur "requestID" dans le code du parseur.
data.detail.requestID additional.fields.value.string_value Directement mappé à partir du champ data.detail.requestID dans le journal brut.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key La valeur est codée en dur sur "encryptionAlgorithm" dans le code du parseur.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Directement mappé à partir du champ data.detail.requestParameters.encryptionAlgorithm dans le journal brut.
data.detail.resources.ARN target.resource.id Directement mappé à partir du champ data.detail.resources.ARN dans le journal brut.
data.detail.resources.type target.resource.resource_subtype Directement mappé à partir du champ data.detail.resources.type dans le journal brut.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key La valeur est codée en dur sur "mfaAuthenticated" dans le code du parseur.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Directement mappé à partir du champ data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated dans le journal brut.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Directement mappé à partir du champ data.detail.userIdentity.sessionContext.sessionIssuer.principalId dans le journal brut.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Directement mappé à partir du champ data.detail.userIdentity.sessionContext.sessionIssuer.userName dans le journal brut.
data.detail.userIdentity.type principal.user.attribute.roles.name Directement mappé à partir du champ data.detail.userIdentity.type dans le journal brut.
data.id metadata.product_log_id Directement mappé à partir du champ data.id dans le journal brut.
data.time metadata.event_timestamp.seconds Valeur en secondes de l'horodatage analysé à partir du champ data.time du journal brut.
N/A metadata.event_type Ce champ est dérivé de la logique du parseur en fonction de la valeur de data.detail.eventName : si eventName est "Decrypt" ou "Encrypt", event_type est "USER_RESOURCE_ACCESS" ; si eventName est "GenerateDataKey", event_type est "USER_RESOURCE_CREATION" ; sinon, event_type est "GENERIC_EVENT".
N/A metadata.log_type La valeur est codée en dur sur "AWS_KMS" dans le code du parseur.
N/A metadata.product_name La valeur est codée en dur sur "AWS Key Management Service" dans le code du parser.
N/A metadata.vendor_name La valeur est codée en dur sur "AMAZON" dans le code du parseur.
N/A principal.asset.attribute.cloud.environment La valeur est codée en dur sur "AMAZON_WEB_SERVICES" dans le code du parseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.