Raccogli i log di AWS Key Management Service
Questo documento spiega come importare i log di AWS Key Management Service (KMS) in Google Security Operations. AWS KMS è un servizio completamente gestito che consente di creare e controllare le chiavi di crittografia utilizzate per criptare i dati. Questa integrazione aiuta a monitorare e controllare l'utilizzo delle chiavi di crittografia.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad AWS
Configura Amazon S3 e IAM
- Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
- Salva il nome e la regione del bucket per utilizzarli in un secondo momento.
- Crea un utente seguendo questa guida: Creazione di un utente IAM.
- Seleziona l'utente creato.
- Seleziona la scheda Credenziali di sicurezza.
- Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
- Seleziona Servizio di terze parti come Caso d'uso.
- Fai clic su Avanti.
- (Facoltativo) Aggiungi un tag di descrizione.
- Fai clic su Crea chiave di accesso.
- Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
- Fai clic su Fine.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
- Seleziona Aggiungi autorizzazioni.
- Seleziona Allega direttamente i criteri.
- Cerca e seleziona il criterio AmazonS3FullAccess.
- Fai clic su Avanti.
- Fai clic su Aggiungi autorizzazioni.
Come configurare CloudTrail per AWS KMS
- Accedi alla console di gestione AWS.
- Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.
- Fai clic su Crea percorso.
- Fornisci un nome della traccia (ad esempio, KMS-Activity-Trail).
- Seleziona la casella di controllo Attiva per tutti gli account della mia organizzazione.
- Digita l'URI del bucket S3 creato in precedenza (il formato deve essere
s3://your-log-bucket-name/
) o crea un nuovo bucket S3. - Se SSE-KMS è abilitato, fornisci un nome per l'alias KMS AWS o scegli una chiave KMS AWS esistente.
- Puoi lasciare invariate le altre impostazioni predefinite.
- Fai clic su Avanti.
- Seleziona Eventi di gestione ed Eventi di dati in Tipi di eventi.
- Fai clic su Avanti.
- Rivedi le impostazioni in Rivedi e crea.
- Fai clic su Crea percorso.
- (Facoltativo) Se hai creato un nuovo bucket, continua con la seguente procedura:
- Vai a S3.
- Identifica e seleziona il bucket di log appena creato.
- Seleziona la cartella AWSLogs.
- Fai clic su Copia URI S3 e salvalo.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed > Aggiungi nuovo feed
- Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed AWS Key Management Service
- Fai clic sul pacchetto Amazon Cloud Platform.
- Individua il tipo di log AWS Key Management Service.
Specifica i valori nei seguenti campi.
- Tipo di origine: Amazon SQS V2
- Nome coda: il nome della coda SQS da cui leggere
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/
- Sostituisci
your-log-bucket-name
con il nome effettivo del bucket S3.
- Sostituisci
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
data.detail.awsRegion | principal.location.country_or_region | Mappato direttamente dal campo data.detail.awsRegion nel log non elaborato. |
data.detail.eventCategory | security_result.category_details | Mappato direttamente dal campo data.detail.eventCategory nel log non elaborato. |
data.detail.eventName | metadata.product_event_type | Mappato direttamente dal campo data.detail.eventName nel log non elaborato. Questo campo determina il valore di metadata.event_type in base alla logica: se eventName è "Decrypt" o "Encrypt", event_type è "USER_RESOURCE_ACCESS", se eventName è "GenerateDataKey", event_type è "USER_RESOURCE_CREATION", altrimenti event_type è "GENERIC_EVENT". |
data.detail.requestID | additional.fields.key | Il valore è codificato come "requestID" nel codice del parser. |
data.detail.requestID | additional.fields.value.string_value | Mappato direttamente dal campo data.detail.requestID nel log non elaborato. |
data.detail.requestParameters.encryptionAlgorithm | security_result.detection_fields.key | Il valore è hardcoded su "encryptionAlgorithm" nel codice del parser. |
data.detail.requestParameters.encryptionAlgorithm | security_result.detection_fields.value | Mappato direttamente dal campo data.detail.requestParameters.encryptionAlgorithm nel log non elaborato. |
data.detail.resources.ARN | target.resource.id | Mappato direttamente dal campo data.detail.resources.ARN nel log non elaborato. |
data.detail.resources.type | target.resource.resource_subtype | Mappato direttamente dal campo data.detail.resources.type nel log non elaborato. |
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated | principal.user.attribute.labels.key | Il valore è hardcoded su "mfaAuthenticated" nel codice del parser. |
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated | principal.user.attribute.labels.value | Mappato direttamente dal campo data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated nel log non elaborato. |
data.detail.userIdentity.sessionContext.sessionIssuer.principalId | principal.user.userid | Mappato direttamente dal campo data.detail.userIdentity.sessionContext.sessionIssuer.principalId nel log non elaborato. |
data.detail.userIdentity.sessionContext.sessionIssuer.userName | principal.user.user_display_name | Mappato direttamente dal campo data.detail.userIdentity.sessionContext.sessionIssuer.userName nel log non elaborato. |
data.detail.userIdentity.type | principal.user.attribute.roles.name | Mappato direttamente dal campo data.detail.userIdentity.type nel log non elaborato. |
data.id | metadata.product_log_id | Mappato direttamente dal campo data.id nel log non elaborato. |
data.time | metadata.event_timestamp.seconds | Il valore in secondi del timestamp analizzato dal campo data.time nel log non elaborato. |
N/D | metadata.event_type | Questo campo viene derivato dalla logica del parser in base al valore di data.detail.eventName : se eventName è "Decrypt" o "Encrypt", event_type è "USER_RESOURCE_ACCESS", se eventName è "GenerateDataKey", event_type è "USER_RESOURCE_CREATION", altrimenti event_type è "GENERIC_EVENT". |
N/D | metadata.log_type | Il valore è hardcoded su "AWS_KMS" nel codice del parser. |
N/D | metadata.product_name | Il valore è hardcoded su "AWS Key Management Service" nel codice del parser. |
N/D | metadata.vendor_name | Il valore è hardcoded su "AMAZON" nel codice del parser. |
N/D | principal.asset.attribute.cloud.environment | Il valore è hardcoded su "AMAZON_WEB_SERVICES" nel codice del parser. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.