Coletar registros do AWS Macie

Compatível com:

Este documento explica como transferir os registros do AWS Macie para o Google Security Operations. O AWS Macie é um serviço de segurança que usa machine learning para descobrir, classificar e proteger dados sensíveis de forma automática. Com essa integração, você pode enviar registros do Macie para o Google SecOps para análise e monitoramento aprimorados.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à AWS.

Configurar o Amazon S3 e o IAM

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para uso futuro.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o Usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso futuro.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Opcional: como configurar o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.
  2. Na barra de pesquisa, digite e selecione Macie na lista de serviços.
  3. Clique em Criar job.
  4. Crie um bucket ou continue com o atual.
  5. Adicione Programar job.
  6. Selecione todos os identificadores de dados gerenciados.
  7. Pule Selecionar identificadores de dados personalizados e clique em Próxima.
  8. Pule Selecionar lista de permissões e clique em Próxima.
  9. Forneça um nome e uma descrição significativos.
  10. Clique em Próxima.
  11. Revise e clique em Enviar.

Configurar o CloudTrail para o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.

  2. Na barra de pesquisa, digite e selecione CloudTrail na lista de serviços.

  3. Se quiser continuar com um novo percurso, clique em Criar percurso.

  4. Informe o nome do percurso (por exemplo, Trilha de atividades de Macie).

  5. Marque a caixa de seleção Ativar para todas as contas na minha organização.

  6. Digite o URI do bucket do S3 criado anteriormente (o formato deve ser s3://your-log-bucket-name/) ou crie um novo bucket do S3.

  7. Se o SSE-KMS estiver ativado, forneça um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.

  8. Deixe as outras configurações como padrão.

  9. Clique em Próxima.

  10. Selecione Eventos de gerenciamento e Eventos de dados em Tipos de evento.

  11. Clique em Próxima.

  12. Revise as configurações em Revisar e criar.

  13. Clique em Criar trilha.

  14. Opcional: se você criou um bucket, siga este processo:

    1. Acesse S3.
    2. Identifique e selecione o bucket de registros recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e salve.

Configurar um feed no Google SecOps para ingerir registros do AWS Macie

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, AWS Macie Logs).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione AWS Macie como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do bucket.
    • O URI é: selecione Diretório ou Diretório que inclui subdiretórios.

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
accountId principal.group.product_object_id Mapeado diretamente do campo accountId.
category security_result.category_details Mapeado diretamente do campo category.
classificationDetails.jobArn security_result.rule_name Mapeado diretamente do campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mapeado diretamente do campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mapeado diretamente do campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mapeado diretamente do campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.category. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.totalCount. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
createdAt metadata.event_timestamp Analisado e convertido para o formato de carimbo de data/hora do UDM do campo createdAt.
description security_result.description Mapeado diretamente do campo description.
id metadata.product_log_id Mapeado diretamente do campo id. Fixado em SCAN_FILE no analisador. Extraídos do campo log_type de nível superior no registro bruto. Fixado em AWS Macie no analisador. Mapeado diretamente do campo schemaVersion. Fixado em AMAZON no analisador. Concatenado de resourcesAffected.s3Bucket.name, region e a string ".s3.amazonaws.com".
region target.location.name Mapeado diretamente do campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mapeado diretamente do campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analisado e convertido para o formato de carimbo de data/hora do UDM do campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mapeado diretamente do campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mapeado diretamente do campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analisado e convertido para o formato de carimbo de data/hora do UDM do campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Prefixado com "s3://" e mapeado do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mapeado diretamente do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mapeado diretamente do campo resourcesAffected.s3Object.size após a conversão para número inteiro não assinado.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mapeado diretamente do campo resourcesAffected.s3Object.storageClass. A chave é fixada em "storageClass". Fixado em DATA_AT_REST no analisador.
security_result.detection_fields.key category, totalCount Chaves fixadas para os campos de detecção.
severity.description security_result.severity Mapeado do campo severity.description. "Low" é mapeado para LOW, "Medium" para MEDIUM e "High" para HIGH. Fixado em AMAZON_WEB_SERVICES no analisador. Fixado em STORAGE_OBJECT no analisador. Fixado em STORAGE_BUCKET no analisador.
title security_result.summary Mapeado diretamente do campo title.
type metadata.product_event_type Mapeado diretamente do campo type.

Alterações

2022-08-08

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.