Recoger registros de AWS Macie

Disponible en:

En este documento se explica cómo ingerir registros de AWS Macie en Google Security Operations. AWS Macie es un servicio de seguridad que usa el aprendizaje automático para descubrir, clasificar y proteger automáticamente los datos sensibles. Esta integración te permitirá enviar registros de Macie a Google SecOps para mejorar el análisis y la monitorización.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configurar Amazon S3 e IAM

  1. Crea un segmento de Amazon S3 siguiendo esta guía del usuario: Crear un segmento.
  2. Guarda el nombre y la región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Opcional: Configurar AWS Macie

  1. Inicia sesión en la consola de administración de AWS.
  2. En la barra de búsqueda, escribe y selecciona Macie en la lista de servicios.
  3. Haz clic en Crear trabajo.
  4. Crea un nuevo contenedor o continúa con el que ya tienes.
  5. Añade Programar tarea.
  6. Seleccione todos los identificadores de datos gestionados.
  7. Omite Seleccionar identificadores de datos personalizados y haz clic en Siguiente.
  8. Omite Seleccionar lista de permitidos y haz clic en Siguiente.
  9. Proporciona un nombre y una descripción significativos.
  10. Haz clic en Siguiente.
  11. Revise la información y haga clic en Enviar.

Cómo configurar CloudTrail para AWS Macie

  1. Inicia sesión en la consola de administración de AWS.

  2. En la barra de búsqueda, escriba y seleccione CloudTrail en la lista de servicios.

  3. Si quieres continuar con un nuevo recorrido, haz clic en Crear recorrido.

  4. Proporcione un nombre de registro de auditoría (por ejemplo, Macie-Activity-Trail).

  5. Selecciona la casilla Habilitar en todas las cuentas de mi organización.

  6. Escribe el URI del segmento de S3 que has creado antes (el formato debe ser s3://your-log-bucket-name/) o crea un segmento de S3.

  7. Si SSE-KMS está habilitado, proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS.

  8. Puedes dejar el resto de los ajustes como predeterminados.

  9. Haz clic en Siguiente.

  10. En Tipos de evento, selecciona Eventos de gestión y Eventos de datos.

  11. Haz clic en Siguiente.

  12. Revisa los ajustes en Revisar y crear.

  13. Haz clic en Crear recorrido.

  14. Opcional: Si has creado un nuevo contenedor, sigue estos pasos:

    1. Ve a S3.
    2. Identifica y selecciona el segmento de registro que acabas de crear.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdalo.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS Macie

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busca el tipo de registro AWS Macie.

  3. Especifique los valores en los campos siguientes.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
    • URI de S3: el URI del segmento.
      • s3://your-log-bucket-name/
        • Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accountId principal.group.product_object_id Se asigna directamente desde el campo accountId.
category security_result.category_details Se asigna directamente desde el campo category.
classificationDetails.jobArn security_result.rule_name Se asigna directamente desde el campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Se asigna directamente desde el campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Se asigna directamente desde el campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Se asigna directamente desde el campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Se asigna directamente desde el campo classificationDetails.result.sensitiveData.category. El analizador itera en la matriz sensitiveData y crea varios objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Se asigna directamente desde el campo classificationDetails.result.sensitiveData.totalCount. El analizador itera en la matriz sensitiveData y crea varios objetos detection_fields.
createdAt metadata.event_timestamp Se ha analizado y convertido al formato de marca de tiempo de UDM a partir del campo createdAt.
description security_result.description Se asigna directamente desde el campo description.
id metadata.product_log_id Se asigna directamente desde el campo id. Codificado como SCAN_FILE en el analizador. Se toma del campo log_type de nivel superior del registro sin procesar. Codificado como AWS Macie en el analizador. Se asigna directamente desde el campo schemaVersion. Codificado como AMAZON en el analizador. Concatenado de resourcesAffected.s3Bucket.name, region y la cadena ".s3.amazonaws.com".
region target.location.name Se asigna directamente desde el campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Se asigna directamente desde el campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Se ha analizado y convertido al formato de marca de tiempo de UDM a partir del campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Se asigna directamente desde el campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Se asigna directamente desde el campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Se asigna directamente desde el campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Se asigna directamente desde el campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Se asigna directamente desde el campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Se asigna directamente desde el campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Se ha analizado y convertido al formato de marca de tiempo de UDM a partir del campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Tiene el prefijo "s3://" y se asigna desde el campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Se asigna directamente desde el campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Se asigna directamente desde el campo resourcesAffected.s3Object.size después de convertirlo en un entero sin signo.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Se asigna directamente desde el campo resourcesAffected.s3Object.storageClass. La clave se codifica como "storageClass". Codificado como DATA_AT_REST en el analizador.
security_result.detection_fields.key category, totalCount Claves codificadas de forma rígida para los campos de detección.
severity.description security_result.severity Asignado desde el campo severity.description. "Bajo" se asigna a LOW, "Medio" a MEDIUM y "Alto" a HIGH. Codificado como AMAZON_WEB_SERVICES en el analizador. Codificado como STORAGE_OBJECT en el analizador. Codificado como STORAGE_BUCKET en el analizador.
title security_result.summary Se asigna directamente desde el campo title.
type metadata.product_event_type Se asigna directamente desde el campo type.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.