Recolha registos do AWS Macie

Compatível com:

Este documento explica como carregar registos do AWS Macie para o Google Security Operations. O AWS Macie é um serviço de segurança que usa a aprendizagem automática para descobrir, classificar e proteger automaticamente dados confidenciais. Esta integração permite-lhe enviar registos do Macie para o SecOps da Google para uma análise e uma monitorização melhoradas.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Configure o Amazon S3 e o IAM

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o Nome e a Região do contentor para utilização posterior.
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Opcional: configurar o AWS Macie

  1. Inicie sessão na AWS Management Console.
  2. Na barra de pesquisa, escreva e selecione Macie na lista de serviços.
  3. Clique em Criar tarefa.
  4. Crie um novo depósito ou continue com o existente.
  5. Adicione Agendar tarefa.
  6. Selecione todos os identificadores de dados geridos.
  7. Ignore a opção Selecionar identificadores de dados personalizados e clique em Seguinte.
  8. Ignore a opção Selecionar lista de autorizações e clique em Seguinte.
  9. Indique um nome e uma descrição significativos.
  10. Clicar em Seguinte.
  11. Reveja e clique em Enviar.

Como configurar o CloudTrail para o AWS Macie

  1. Inicie sessão na AWS Management Console.

  2. Na barra de pesquisa, escreva e selecione CloudTrail na lista de serviços.

  3. Se quiser continuar com uma nova trilha, clique em Criar trilha.

  4. Indique um Nome do rasto (por exemplo, Macie-Activity-Trail).

  5. Selecione a caixa de verificação Ativar para todas as contas na minha organização.

  6. Escreva o URI do contentor do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo contentor do S3.

  7. Se a SSE-KMS estiver ativada, indique um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS existente.

  8. Pode deixar as outras definições como predefinições.

  9. Clicar em Seguinte.

  10. Selecione Eventos de gestão e Eventos de dados em Tipos de eventos.

  11. Clicar em Seguinte.

  12. Reveja as definições em Rever e criar.

  13. Clique em Criar trilho.

  14. Opcional: se criou um novo contentor, continue com o processo seguinte:

    1. Aceda ao S3.
    2. Identifique e selecione o contentor de registos recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e guarde-o.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Macie

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registo AWS Macie.

  3. Especifique os valores nos seguintes campos.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila SQS a partir da qual ler
    • URI do S3: o URI do contentor.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

    • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
accountId principal.group.product_object_id Mapeado diretamente a partir do campo accountId.
category security_result.category_details Mapeado diretamente a partir do campo category.
classificationDetails.jobArn security_result.rule_name Mapeado diretamente a partir do campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mapeado diretamente a partir do campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mapeado diretamente a partir do campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mapeado diretamente a partir do campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mapeado diretamente a partir do campo classificationDetails.result.sensitiveData.category. O analisador itera a matriz sensitiveData e cria vários objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mapeado diretamente a partir do campo classificationDetails.result.sensitiveData.totalCount. O analisador itera a matriz sensitiveData e cria vários objetos detection_fields.
createdAt metadata.event_timestamp Analisado e convertido para o formato de data/hora da UDM a partir do campo createdAt.
description security_result.description Mapeado diretamente a partir do campo description.
id metadata.product_log_id Mapeado diretamente a partir do campo id. Codificado como SCAN_FILE no analisador. Extraído do campo log_type de nível superior no registo não processado. Codificado como AWS Macie no analisador. Mapeado diretamente a partir do campo schemaVersion. Codificado como AMAZON no analisador. Concatenado a partir de resourcesAffected.s3Bucket.name, region e da string ".s3.amazonaws.com".
region target.location.name Mapeado diretamente a partir do campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mapeado diretamente a partir do campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analisado e convertido para o formato de data/hora da UDM a partir do campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mapeado diretamente a partir do campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mapeado diretamente a partir do campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mapeado diretamente a partir do campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mapeado diretamente a partir do campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mapeado diretamente a partir do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mapeado diretamente a partir do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analisado e convertido para o formato de data/hora da UDM a partir do campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Tem o prefixo "s3://" e é mapeado a partir do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mapeado diretamente a partir do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mapeado diretamente a partir do campo resourcesAffected.s3Object.size após a conversão para um número inteiro não assinado.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mapeado diretamente a partir do campo resourcesAffected.s3Object.storageClass. A chave está codificada como "storageClass". Codificado como DATA_AT_REST no analisador.
security_result.detection_fields.key category, totalCount Chaves codificadas para os campos de deteção.
severity.description security_result.severity Mapeado a partir do campo severity.description. "Baixo" é mapeado para LOW, "Médio" para MEDIUM e "Alto" para HIGH. Codificado como AMAZON_WEB_SERVICES no analisador. Codificado como STORAGE_OBJECT no analisador. Codificado como STORAGE_BUCKET no analisador.
title security_result.summary Mapeado diretamente a partir do campo title.
type metadata.product_event_type Mapeado diretamente a partir do campo type.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.