Recopila registros de AWS Macie

Compatible con:

En este documento, se explica cómo transferir registros de AWS Macie a Google Security Operations. AWS Macie es un servicio de seguridad que usa el aprendizaje automático para descubrir, clasificar y proteger automáticamente los datos sensibles. Esta integración te permitirá enviar registros de Macie a Google SecOps para mejorar el análisis y la supervisión.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS.

Configura Amazon S3 y IAM

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Guarda el Nombre y la Región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Cómo crear un usuario de IAM.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la Clave de acceso y la Clave de acceso secreta para usarlas más tarde.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Opcional: Configura AWS Macie

  1. Accede a la consola de administración de AWS.
  2. En la barra de búsqueda, escribe Macie y selecciónalo en la lista de servicios.
  3. Haz clic en Create job (Crear trabajo).
  4. Crea un bucket nuevo o continúa con el existente.
  5. Agrega Programar trabajo.
  6. Selecciona todos los identificadores de datos administrados.
  7. Omite Seleccionar identificadores de datos personalizados y haz clic en Siguiente.
  8. Omite Seleccionar lista de entidades permitidas y haz clic en Siguiente.
  9. Proporciona un nombre y una descripción significativos.
  10. Haz clic en Siguiente.
  11. Revisa el contenido y haz clic en Enviar.

Configura CloudTrail para AWS Macie

  1. Accede a la consola de administración de AWS.

  2. En la barra de búsqueda, escribe CloudTrail y selecciónalo en la lista de servicios.

  3. Si quieres continuar con un nuevo sendero, haz clic en Crear sendero.

  4. Proporciona un nombre para el sendero (por ejemplo, Macie-Activity-Trail).

  5. Selecciona la casilla de verificación Habilitar para todas las cuentas de mi organización.

  6. Escribe el URI del bucket de S3 que creaste antes (el formato debe ser s3://your-log-bucket-name/) o crea un bucket de S3 nuevo.

  7. Si la SSE-KMS está habilitada, proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.

  8. Puedes dejar el resto de la configuración predeterminada.

  9. Haz clic en Siguiente.

  10. Selecciona Eventos de administración y Eventos de datos en Tipos de eventos.

  11. Haz clic en Siguiente.

  12. Revisa la configuración en Revisar y crear.

  13. Haz clic en Crear sendero.

  14. Opcional: Si creaste un bucket nuevo, continúa con el siguiente proceso:

    1. Ve a S3.
    2. Identifica y selecciona el bucket de registros que acabas de crear.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdalo.

Configura un feed en Google SecOps para transferir registros de AWS Macie

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Macie).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona AWS Macie como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real del bucket.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accountId principal.group.product_object_id Se asigna directamente desde el campo accountId.
category security_result.category_details Se asigna directamente desde el campo category.
classificationDetails.jobArn security_result.rule_name Se asigna directamente desde el campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Se asigna directamente desde el campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Se asigna directamente desde el campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Se asigna directamente desde el campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Se asigna directamente desde el campo classificationDetails.result.sensitiveData.category. El analizador itera por el array sensitiveData y crea varios objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Se asigna directamente desde el campo classificationDetails.result.sensitiveData.totalCount. El analizador itera por el array sensitiveData y crea varios objetos detection_fields.
createdAt metadata.event_timestamp Se analiza y se convierte al formato de marca de tiempo de la AUA desde el campo createdAt.
description security_result.description Se asigna directamente desde el campo description.
id metadata.product_log_id Se asigna directamente desde el campo id. Está codificado en SCAN_FILE en el analizador. Se toma del campo log_type de nivel superior en el registro sin procesar. Está codificado en AWS Macie en el analizador. Se asigna directamente desde el campo schemaVersion. Está codificado en AMAZON en el analizador. Se concatena a partir de resourcesAffected.s3Bucket.name, region y la cadena ".s3.amazonaws.com".
region target.location.name Se asigna directamente desde el campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Se asigna directamente desde el campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Se analiza y se convierte al formato de marca de tiempo de la AUA desde el campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Se asigna directamente desde el campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Se asigna directamente desde el campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Se asigna directamente desde el campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Se asigna directamente desde el campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Se asigna directamente desde el campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Se asigna directamente desde el campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Se analiza y se convierte al formato de marca de tiempo de la AUA desde el campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Tiene el prefijo "s3://" y se asigna desde el campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Se asigna directamente desde el campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Se asigna directamente desde el campo resourcesAffected.s3Object.size después de convertirlo en número entero sin signo.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Se asigna directamente desde el campo resourcesAffected.s3Object.storageClass. La clave está codificada en "storageClass". Está codificado en DATA_AT_REST en el analizador.
security_result.detection_fields.key category, totalCount Claves fijas para los campos de detección.
severity.description security_result.severity Se asignó desde el campo severity.description. “Bajo” se asigna a LOW, “Medio” a MEDIUM y “Alto” a HIGH. Está codificado en AMAZON_WEB_SERVICES en el analizador. Está codificado en STORAGE_OBJECT en el analizador. Está codificado en STORAGE_BUCKET en el analizador.
title security_result.summary Se asigna directamente desde el campo title.
type metadata.product_event_type Se asigna directamente desde el campo type.

Cambios

2022-08-08

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.