AWS Macie-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS Macie-Logs in Google Security Operations aufnehmen. AWS Macie ist ein Sicherheitsdienst, der mithilfe von Machine Learning sensible Daten automatisch erkennt, klassifiziert und schützt. Mit dieser Integration können Sie Macie-Logs zur erweiterten Analyse und Überwachung an Google SecOps senden.

Vorbereitung

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für AWS.

Amazon S3 und IAM konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets für später.
  3. Erstellen Sie einen Nutzer gemäß der Anleitung IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Zugriffsschlüssel und den Secret Access Key zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

Optional: AWS Macie konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.
  2. Geben Sie in die Suchleiste Macie ein und wählen Sie den Dienst in der Liste aus.
  3. Klicken Sie auf Job erstellen.
  4. Erstellen Sie einen neuen Bucket oder fahren Sie mit dem vorhandenen fort.
  5. Fügen Sie Job planen hinzu.
  6. Wählen Sie alle verwalteten Daten-IDs aus.
  7. Überspringen Sie Benutzerdefinierte Datenempfänger auswählen und klicken Sie auf Weiter.
  8. Überspringen Sie Zulassungsliste auswählen und klicken Sie auf Weiter.
  9. Geben Sie einen aussagekräftigen Namen und eine Beschreibung ein.
  10. Klicken Sie auf Weiter.
  11. Überprüfen Sie die Angaben und klicken Sie auf Senden.

CloudTrail für AWS Macie konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.

  2. Geben Sie in die Suchleiste CloudTrail ein und wählen Sie den Dienst aus der Liste aus.

  3. Wenn Sie mit einem neuen Trail fortfahren möchten, klicken Sie auf Trail erstellen.

  4. Geben Sie einen Pfadnamen an, z. B. Macie-Aktivitäts-Pfad.

  5. Klicken Sie auf das Kästchen Für alle Konten in meiner Organisation aktivieren.

  6. Geben Sie den zuvor erstellten S3-Bucket-URI ein (das Format sollte s3://your-log-bucket-name/ sein) oder erstellen Sie einen neuen S3-Bucket.

  7. Wenn die serverseitige Verschlüsselung mit AWS KMS aktiviert ist, geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.

  8. Die anderen Einstellungen können Sie beibehalten.

  9. Klicken Sie auf Weiter.

  10. Wählen Sie unter Ereignistypen die Optionen Verwaltungsereignisse und Datenereignisse aus.

  11. Klicken Sie auf Weiter.

  12. Prüfen Sie die Einstellungen unter Überprüfen und erstellen.

  13. Klicken Sie auf Weg erstellen.

  14. Optional: Wenn Sie einen neuen Bucket erstellt haben, fahren Sie mit dem folgenden Verfahren fort:

    1. Rufen Sie S3 auf.
    2. Suchen Sie den neu erstellten Log-Bucket und wählen Sie ihn aus.
    3. Wählen Sie den Ordner AWSLogs aus.
    4. Klicken Sie auf S3-URI kopieren und speichern Sie sie.

Feed in Google SecOps für die Aufnahme von AWS Macie-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS Macie-Protokolle.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie AWS Macie als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.

    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
accountId principal.group.product_object_id Direkt aus dem Feld accountId zugeordnet.
category security_result.category_details Direkt aus dem Feld category zugeordnet.
classificationDetails.jobArn security_result.rule_name Direkt aus dem Feld classificationDetails.jobArn zugeordnet.
classificationDetails.jobId security_result.rule_id Direkt aus dem Feld classificationDetails.jobId zugeordnet.
classificationDetails.originType security_result.rule_type Direkt aus dem Feld classificationDetails.originType zugeordnet.
classificationDetails.result.mimeType target.file.mime_type Direkt aus dem Feld classificationDetails.result.mimeType zugeordnet.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Direkt aus dem Feld classificationDetails.result.sensitiveData.category zugeordnet. Der Parser durchläuft das sensitiveData-Array und erstellt mehrere detection_fields-Objekte.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Direkt aus dem Feld classificationDetails.result.sensitiveData.totalCount zugeordnet. Der Parser durchläuft das sensitiveData-Array und erstellt mehrere detection_fields-Objekte.
createdAt metadata.event_timestamp Aus dem Feld createdAt geparst und in das UDM-Zeitstempelformat konvertiert.
description security_result.description Direkt aus dem Feld description zugeordnet.
id metadata.product_log_id Direkt aus dem Feld id zugeordnet. Im Parser auf SCAN_FILE hartcodiert. Aus dem Feld log_type der obersten Ebene im Rohprotokoll. Im Parser auf AWS Macie hartcodiert. Direkt aus dem Feld schemaVersion zugeordnet. Im Parser auf AMAZON hartcodiert. Zusammengesetzt aus resourcesAffected.s3Bucket.name, region und dem String „.s3.amazonaws.com“.
region target.location.name Direkt aus dem Feld region zugeordnet.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Direkt aus dem Feld resourcesAffected.s3Bucket.arn zugeordnet.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Aus dem Feld resourcesAffected.s3Bucket.createdAt geparst und in das UDM-Zeitstempelformat konvertiert.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Direkt aus dem Feld resourcesAffected.s3Bucket.name zugeordnet.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Direkt aus dem Feld resourcesAffected.s3Bucket.owner.displayName zugeordnet.
resourcesAffected.s3Bucket.owner.id target.user.userid Direkt aus dem Feld resourcesAffected.s3Bucket.owner.id zugeordnet.
resourcesAffected.s3Object.eTag target.file.md5 Direkt aus dem Feld resourcesAffected.s3Object.eTag zugeordnet.
resourcesAffected.s3Object.key target.file.names Direkt aus dem Feld resourcesAffected.s3Object.key zugeordnet.
resourcesAffected.s3Object.key target.resource.name Direkt aus dem Feld resourcesAffected.s3Object.key zugeordnet.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Aus dem Feld resourcesAffected.s3Object.lastModified geparst und in das UDM-Zeitstempelformat konvertiert.
resourcesAffected.s3Object.path target.file.full_path Hat das Präfix „s3://“ und wird aus dem Feld resourcesAffected.s3Object.path zugeordnet.
resourcesAffected.s3Object.path target.resource.product_object_id Direkt aus dem Feld resourcesAffected.s3Object.path zugeordnet.
resourcesAffected.s3Object.size target.file.size Wird direkt aus dem Feld resourcesAffected.s3Object.size nach der Umwandlung in eine Ganzzahl ohne Vorzeichen zugeordnet.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Direkt aus dem Feld resourcesAffected.s3Object.storageClass zugeordnet. Der Schlüssel ist auf „storageClass“ hartcodiert. Im Parser auf DATA_AT_REST hartcodiert.
security_result.detection_fields.key category, totalCount Hartcodierte Schlüssel für die Erkennungsfelder.
severity.description security_result.severity Aus dem Feld severity.description zugeordnet. „Low“ (Niedrig) ist LOW, „Medium“ (Mittel) MEDIUM und „High“ (Hoch) HIGH zugeordnet. Im Parser auf AMAZON_WEB_SERVICES hartcodiert. Im Parser auf STORAGE_OBJECT hartcodiert. Im Parser auf STORAGE_BUCKET hartcodiert.
title security_result.summary Direkt aus dem Feld title zugeordnet.
type metadata.product_event_type Direkt aus dem Feld type zugeordnet.

Änderungen

2022-08-08

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten