Raccogliere i log di AWS Macie

Supportato in:

Questo documento spiega come importare i log di AWS Macie in Google Security Operations. AWS Macie è un servizio di sicurezza che utilizza il machine learning per rilevare, classificare e proteggere automaticamente i dati sensibili. Questa integrazione ti consentirà di inviare i log di Macie a Google SecOps per un'analisi e un monitoraggio avanzati.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Configura Amazon S3 e IAM

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per utilizzarli in un secondo momento.
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

(Facoltativo) Configurazione di AWS Macie

  1. Accedi alla console di gestione AWS.
  2. Nella barra di ricerca, digita e seleziona Macie dall'elenco dei servizi.
  3. Fai clic su Crea job.
  4. Crea un nuovo bucket o procedi con quello esistente.
  5. Aggiungi Pianifica job.
  6. Seleziona tutti gli identificatori di dati gestiti.
  7. Salta Seleziona identificatori di dati personalizzati e fai clic su Avanti.
  8. Salta Seleziona lista consentita e fai clic su Avanti.
  9. Fornisci un nome e una descrizione significativi.
  10. Fai clic su Avanti.
  11. Rivedi e fai clic su Invia.

Come configurare CloudTrail per AWS Macie

  1. Accedi alla console di gestione AWS.

  2. Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.

  3. Se vuoi procedere con una nuova traccia, fai clic su Crea traccia.

  4. Fornisci un nome della traccia (ad esempio, Macie-Activity-Trail).

  5. Seleziona la casella di controllo Attiva per tutti gli account della mia organizzazione.

  6. Digita l'URI del bucket S3 creato in precedenza (il formato deve essere s3://your-log-bucket-name/) o crea un nuovo bucket S3.

  7. Se SSE-KMS è abilitato, fornisci un nome per l'alias KMS AWS o scegli una chiave KMS AWS esistente.

  8. Puoi lasciare invariate le altre impostazioni predefinite.

  9. Fai clic su Avanti.

  10. Seleziona Eventi di gestione ed Eventi di dati in Tipi di eventi.

  11. Fai clic su Avanti.

  12. Rivedi le impostazioni in Rivedi e crea.

  13. Fai clic su Crea percorso.

  14. (Facoltativo) Se hai creato un nuovo bucket, continua con la seguente procedura:

    1. Vai a S3.
    2. Identifica e seleziona il bucket di log appena creato.
    3. Seleziona la cartella AWSLogs.
    4. Fai clic su Copia URI S3 e salvalo.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS Macie

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS Macie.

  3. Specifica i valori nei seguenti campi.

    • Tipo di origine: Amazon SQS V2
    • Nome coda: il nome della coda SQS da cui leggere
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.

    • Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
accountId principal.group.product_object_id Mappato direttamente dal campo accountId.
category security_result.category_details Mappato direttamente dal campo category.
classificationDetails.jobArn security_result.rule_name Mappato direttamente dal campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mappato direttamente dal campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mappato direttamente dal campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mappato direttamente dal campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mappato direttamente dal campo classificationDetails.result.sensitiveData.category. Il parser scorre l'array sensitiveData e crea più oggetti detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mappato direttamente dal campo classificationDetails.result.sensitiveData.totalCount. Il parser scorre l'array sensitiveData e crea più oggetti detection_fields.
createdAt metadata.event_timestamp Analizzato e convertito nel formato timestamp UDM dal campo createdAt.
description security_result.description Mappato direttamente dal campo description.
id metadata.product_log_id Mappato direttamente dal campo id. Codificato in modo permanente su SCAN_FILE nel parser. Estratto dal campo log_type di primo livello nel log non elaborato. Codificato in modo permanente su AWS Macie nel parser. Mappato direttamente dal campo schemaVersion. Codificato in modo permanente su AMAZON nel parser. Concatenato da resourcesAffected.s3Bucket.name, region e dalla stringa ".s3.amazonaws.com".
region target.location.name Mappato direttamente dal campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mappato direttamente dal campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analizzato e convertito nel formato timestamp UDM dal campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mappato direttamente dal campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mappato direttamente dal campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mappato direttamente dal campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mappato direttamente dal campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mappato direttamente dal campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mappato direttamente dal campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analizzato e convertito nel formato timestamp UDM dal campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Con prefisso "s3://" e mappato dal campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mappato direttamente dal campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mappato direttamente dal campo resourcesAffected.s3Object.size dopo la conversione in numero intero senza segno.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mappato direttamente dal campo resourcesAffected.s3Object.storageClass. La chiave è codificata come "storageClass". Codificato in modo permanente su DATA_AT_REST nel parser.
security_result.detection_fields.key category, totalCount Chiavi codificate per i campi di rilevamento.
severity.description security_result.severity Mappato dal campo severity.description. "Bassa" è mappata su LOW, "Media" su MEDIUM e "Alta" su HIGH. Codificato in modo permanente su AMAZON_WEB_SERVICES nel parser. Codificato in modo permanente su STORAGE_OBJECT nel parser. Codificato in modo permanente su STORAGE_BUCKET nel parser.
title security_result.summary Mappato direttamente dal campo title.
type metadata.product_event_type Mappato direttamente dal campo type.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.