Mengumpulkan log AWS Key Management Service
Dokumen ini menjelaskan cara menyerap log AWS Key Management Service (KMS) ke Google Security Operations. AWS KMS adalah layanan terkelola sepenuhnya yang memungkinkan Anda membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. Integrasi ini membantu memantau dan mengaudit penggunaan kunci enkripsi.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
Mengonfigurasi Amazon S3 dan IAM
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Simpan Nama dan Region bucket untuk digunakan nanti.
- Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
- Klik Selesai.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung.
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Add permissions.
Cara mengonfigurasi CloudTrail untuk AWS KMS
- Login ke AWS Management Console.
- Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
- Klik Buat jalur.
- Berikan Nama jejak (misalnya, KMS-Activity-Trail).
- Centang kotak Aktifkan untuk semua akun di organisasi saya.
- Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus:
s3://your-log-bucket-name/
), atau buat bucket S3 baru. - Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
- Anda dapat membiarkan setelan lainnya sebagai default.
- Klik Berikutnya.
- Pilih Peristiwa pengelolaan dan Peristiwa data di bagian Jenis Peristiwa.
- Klik Berikutnya.
- Tinjau setelan di Tinjau dan buat.
- Klik Buat jalur.
- Opsional: jika Anda membuat bucket baru, lanjutkan dengan proses berikut:
- Buka S3.
- Identifikasi dan pilih bucket log yang baru dibuat.
- Pilih folder AWSLogs.
- Klik Copy S3 URI dan simpan.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Feed Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed AWS Key Management Service
- Klik paket Amazon Cloud Platform.
- Temukan jenis log AWS Key Management Service.
Tentukan nilai di kolom berikut.
- Jenis Sumber: Amazon SQS V2
- Nama Antrean: Nama antrean SQS yang akan dibaca
- URI S3: URI bucket.
s3://your-log-bucket-name/
- Ganti
your-log-bucket-name
dengan nama sebenarnya bucket S3 Anda.
- Ganti
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.
Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
data.detail.awsRegion | principal.location.country_or_region | Dipetakan langsung dari kolom data.detail.awsRegion dalam log mentah. |
data.detail.eventCategory | security_result.category_details | Dipetakan langsung dari kolom data.detail.eventCategory dalam log mentah. |
data.detail.eventName | metadata.product_event_type | Dipetakan langsung dari kolom data.detail.eventName dalam log mentah. Kolom ini menentukan nilai metadata.event_type berdasarkan logika: jika eventName adalah "Decrypt" atau "Encrypt", maka event_type adalah "USER_RESOURCE_ACCESS", jika eventName adalah "GenerateDataKey", maka event_type adalah "USER_RESOURCE_CREATION", jika tidak, event_type adalah "GENERIC_EVENT". |
data.detail.requestID | additional.fields.key | Nilai di-hard code ke "requestID" dalam kode parser. |
data.detail.requestID | additional.fields.value.string_value | Dipetakan langsung dari kolom data.detail.requestID dalam log mentah. |
data.detail.requestParameters.encryptionAlgorithm | security_result.detection_fields.key | Nilai di-hardcode ke "encryptionAlgorithm" dalam kode parser. |
data.detail.requestParameters.encryptionAlgorithm | security_result.detection_fields.value | Dipetakan langsung dari kolom data.detail.requestParameters.encryptionAlgorithm dalam log mentah. |
data.detail.resources.ARN | target.resource.id | Dipetakan langsung dari kolom data.detail.resources.ARN dalam log mentah. |
data.detail.resources.type | target.resource.resource_subtype | Dipetakan langsung dari kolom data.detail.resources.type dalam log mentah. |
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated | principal.user.attribute.labels.key | Nilai di-hardcode ke "mfaAuthenticated" dalam kode parser. |
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated | principal.user.attribute.labels.value | Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated dalam log mentah. |
data.detail.userIdentity.sessionContext.sessionIssuer.principalId | principal.user.userid | Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.sessionIssuer.principalId dalam log mentah. |
data.detail.userIdentity.sessionContext.sessionIssuer.userName | principal.user.user_display_name | Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.sessionIssuer.userName dalam log mentah. |
data.detail.userIdentity.type | principal.user.attribute.roles.name | Dipetakan langsung dari kolom data.detail.userIdentity.type dalam log mentah. |
data.id | metadata.product_log_id | Dipetakan langsung dari kolom data.id dalam log mentah. |
data.time | metadata.event_timestamp.seconds | Nilai detik stempel waktu yang diuraikan dari kolom data.time dalam log mentah. |
T/A | metadata.event_type | Kolom ini berasal dari logika parser berdasarkan nilai data.detail.eventName : jika eventName adalah "Decrypt" atau "Encrypt", maka event_type adalah "USER_RESOURCE_ACCESS", jika eventName adalah "GenerateDataKey", maka event_type adalah "USER_RESOURCE_CREATION", jika tidak, event_type adalah "GENERIC_EVENT". |
T/A | metadata.log_type | Nilai di-hardcode ke "AWS_KMS" dalam kode parser. |
T/A | metadata.product_name | Nilai di-hard code ke "AWS Key Management Service" dalam kode parser. |
T/A | metadata.vendor_name | Nilai di-hardcode ke "AMAZON" dalam kode parser. |
T/A | principal.asset.attribute.cloud.environment | Nilai di-hardcode ke "AMAZON_WEB_SERVICES" dalam kode parser. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.