Mengumpulkan log AWS Key Management Service

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Key Management Service (KMS) ke Google Security Operations. AWS KMS adalah layanan terkelola sepenuhnya yang memungkinkan Anda membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. Integrasi ini membantu memantau dan mengaudit penggunaan kunci enkripsi.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi Amazon S3 dan IAM

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi CloudTrail untuk AWS KMS

  1. Login ke AWS Management Console.
  2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
  3. Klik Buat jalur.
  4. Berikan Nama pelacakan (misalnya, KMS-Activity-Trail).
  5. Centang kotak Aktifkan untuk semua akun di organisasi saya.
  6. Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus: s3://your-log-bucket-name/), atau buat bucket S3 baru.
  7. Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
  8. Anda dapat membiarkan setelan lainnya tetap default.
  9. Klik Berikutnya.
  10. Pilih Peristiwa pengelolaan dan Peristiwa data di bagian Jenis Peristiwa.
  11. Klik Berikutnya.
  12. Tinjau setelan di Tinjau dan buat.
  13. Klik Buat jalur.
  14. Opsional: jika Anda membuat bucket baru, lanjutkan dengan proses berikut:
    1. Buka S3.
    2. Identifikasi dan pilih bucket log yang baru dibuat.
    3. Pilih folder AWSLogs.
    4. Klik Salin URI S3 dan simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS KMS

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS KMS Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS KMS sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
data.detail.awsRegion principal.location.country_or_region Dipetakan langsung dari kolom data.detail.awsRegion dalam log mentah.
data.detail.eventCategory security_result.category_details Dipetakan langsung dari kolom data.detail.eventCategory dalam log mentah.
data.detail.eventName metadata.product_event_type Dipetakan langsung dari kolom data.detail.eventName dalam log mentah. Kolom ini menentukan nilai metadata.event_type berdasarkan logika: jika eventName adalah "Decrypt" atau "Encrypt", maka event_type adalah "USER_RESOURCE_ACCESS", jika eventName adalah "GenerateDataKey", maka event_type adalah "USER_RESOURCE_CREATION", jika tidak, event_type adalah "GENERIC_EVENT".
data.detail.requestID additional.fields.key Nilai di-hardcode ke "requestID" dalam kode parser.
data.detail.requestID additional.fields.value.string_value Dipetakan langsung dari kolom data.detail.requestID dalam log mentah.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key Nilai di-hardcode ke "encryptionAlgorithm" dalam kode parser.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Dipetakan langsung dari kolom data.detail.requestParameters.encryptionAlgorithm dalam log mentah.
data.detail.resources.ARN target.resource.id Dipetakan langsung dari kolom data.detail.resources.ARN dalam log mentah.
data.detail.resources.type target.resource.resource_subtype Dipetakan langsung dari kolom data.detail.resources.type dalam log mentah.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key Nilai di-hardcode ke "mfaAuthenticated" dalam kode parser.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated dalam log mentah.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.sessionIssuer.principalId dalam log mentah.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Dipetakan langsung dari kolom data.detail.userIdentity.sessionContext.sessionIssuer.userName dalam log mentah.
data.detail.userIdentity.type principal.user.attribute.roles.name Dipetakan langsung dari kolom data.detail.userIdentity.type dalam log mentah.
data.id metadata.product_log_id Dipetakan langsung dari kolom data.id dalam log mentah.
data.time metadata.event_timestamp.seconds Nilai detik stempel waktu yang diuraikan dari kolom data.time dalam log mentah.
T/A metadata.event_type Kolom ini berasal dari logika parser berdasarkan nilai data.detail.eventName: jika eventName adalah "Decrypt" atau "Encrypt", maka event_type adalah "USER_RESOURCE_ACCESS", jika eventName adalah "GenerateDataKey", maka event_type adalah "USER_RESOURCE_CREATION", jika tidak, event_type adalah "GENERIC_EVENT".
T/A metadata.log_type Nilai di-hardcode ke "AWS_KMS" dalam kode parser.
T/A metadata.product_name Nilai di-hardcode ke "AWS Key Management Service" dalam kode parser.
T/A metadata.vendor_name Nilai di-hardcode ke "AMAZON" dalam kode parser.
T/A principal.asset.attribute.cloud.environment Nilai di-hardcode ke "AMAZON_WEB_SERVICES" dalam kode parser.

Perubahan

2022-05-27

  • Peningkatan:
  • Mengubah nilai yang disimpan di metadata.product_name menjadi 'AWS Key Management Service'.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.