收集 AWS Macie 日志

支持的语言:

本文档介绍了如何将 AWS Macie 日志注入到 Google Security Operations。AWS Macie 是一项安全服务,可使用机器学习技术自动发现、分类和保护敏感数据。通过此集成,您可以将 Macie 日志发送到 Google SecOps,以便进行更深入的分析和监控。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

配置 Amazon S3 和 IAM

  1. 按照以下用户指南创建 Amazon S3 存储桶创建存储桶
  2. 保存存储桶名称区域以备后用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 访问密钥部分中,点击创建访问密钥
  7. 选择第三方服务作为使用情形
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击 Download CSV file(下载 CSV 文件),保存访问密钥不公开的访问密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

可选:配置 AWS Macie

  1. 登录 AWS Management Console
  2. 在搜索栏中,输入并从服务列表中选择 Macie
  3. 点击创建作业
  4. 创建新存储桶或继续使用现有存储桶。
  5. 添加安排作业
  6. 选择所有受管理的数据标识符。
  7. 跳过选择自定义数据标识符,然后点击下一步
  8. 跳过选择许可名单,然后点击下一步
  9. 提供有意义的名称和说明。
  10. 点击下一步
  11. 检查并点击提交

如何为 AWS Macie 配置 CloudTrail

  1. 登录 AWS Management Console
  2. 在搜索栏中,输入并从服务列表中选择 CloudTrail

  3. 如果您想继续进行新的轨迹,请点击创建轨迹

  4. 提供跟踪名称(例如,Macie-Activity-Trail)。

  5. 选中为我组织中的所有账号启用复选框。

  6. 输入之前创建的 S3 存储桶 URI(格式应为:s3://your-log-bucket-name/),或创建一个新的 S3 存储桶。

  7. 如果启用了 SSE-KMS,请提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥

  8. 您可以将其他设置保留为默认值。

  9. 点击下一步

  10. 事件类型下,选择管理事件数据事件

  11. 点击下一步

  12. 检查并创建中检查设置。

  13. 点击创建试验

  14. 可选:如果您创建了新存储桶,请继续执行以下流程:

    1. 前往 S3
    2. 找到并选择新创建的日志存储桶。
    3. 选择 AWSLogs 文件夹。
    4. 点击复制 S3 URI 并保存。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 AWS Macie Feed

  1. 点击 Amazon Cloud Platform 包。
  2. 找到 AWS Macie 日志类型。
  3. 在以下字段中指定值。

    • 来源类型:Amazon SQS V2
    • 队列名称:要从中读取数据的 SQS 队列名称
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。

    • SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。

    • SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于相应 Feed 中所有事件的标签。
  4. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

UDM 映射表

日志字段 UDM 映射 逻辑
accountId principal.group.product_object_id 直接从 accountId 字段映射。
category security_result.category_details 直接从 category 字段映射。
classificationDetails.jobArn security_result.rule_name 直接从 classificationDetails.jobArn 字段映射。
classificationDetails.jobId security_result.rule_id 直接从 classificationDetails.jobId 字段映射。
classificationDetails.originType security_result.rule_type 直接从 classificationDetails.originType 字段映射。
classificationDetails.result.mimeType target.file.mime_type 直接从 classificationDetails.result.mimeType 字段映射。
classificationDetails.result.sensitiveData.category security_result.detection_fields.value 直接从 classificationDetails.result.sensitiveData.category 字段映射。解析器会遍历 sensitiveData 数组并创建多个 detection_fields 对象。
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value 直接从 classificationDetails.result.sensitiveData.totalCount 字段映射。解析器会遍历 sensitiveData 数组并创建多个 detection_fields 对象。
createdAt metadata.event_timestamp 已从 createdAt 字段解析并转换为 UDM 时间戳格式。
description security_result.description 直接从 description 字段映射。
id metadata.product_log_id 直接从 id 字段映射。在解析器中硬编码为 SCAN_FILE。取自原始日志中的顶级 log_type 字段。在解析器中硬编码为 AWS Macie。直接从 schemaVersion 字段映射。在解析器中硬编码为 AMAZON。由 resourcesAffected.s3Bucket.nameregion 和字符串“.s3.amazonaws.com”串联而成。
region target.location.name 直接从 region 字段映射。
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id 直接从 resourcesAffected.s3Bucket.arn 字段映射。
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time 已从 resourcesAffected.s3Bucket.createdAt 字段解析并转换为 UDM 时间戳格式。
resourcesAffected.s3Bucket.name target.resource_ancestors.name 直接从 resourcesAffected.s3Bucket.name 字段映射。
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name 直接从 resourcesAffected.s3Bucket.owner.displayName 字段映射。
resourcesAffected.s3Bucket.owner.id target.user.userid 直接从 resourcesAffected.s3Bucket.owner.id 字段映射。
resourcesAffected.s3Object.eTag target.file.md5 直接从 resourcesAffected.s3Object.eTag 字段映射。
resourcesAffected.s3Object.key target.file.names 直接从 resourcesAffected.s3Object.key 字段映射。
resourcesAffected.s3Object.key target.resource.name 直接从 resourcesAffected.s3Object.key 字段映射。
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time 已从 resourcesAffected.s3Object.lastModified 字段解析并转换为 UDM 时间戳格式。
resourcesAffected.s3Object.path target.file.full_path 带有“s3://”前缀,并从 resourcesAffected.s3Object.path 字段映射。
resourcesAffected.s3Object.path target.resource.product_object_id 直接从 resourcesAffected.s3Object.path 字段映射。
resourcesAffected.s3Object.size target.file.size 直接从 resourcesAffected.s3Object.size 字段映射,并转换为无符号整数。
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value 直接从 resourcesAffected.s3Object.storageClass 字段映射。该键已硬编码为“storageClass”。在解析器中硬编码为 DATA_AT_REST
security_result.detection_fields.key categorytotalCount 检测字段的硬编码键。
severity.description security_result.severity severity.description 字段映射。“低”映射到 LOW,“中”映射到 MEDIUM,“高”映射到 HIGH。在解析器中硬编码为 AMAZON_WEB_SERVICES。在解析器中硬编码为 STORAGE_OBJECT。在解析器中硬编码为 STORAGE_BUCKET
title security_result.summary 直接从 title 字段映射。
type metadata.product_event_type 直接从 type 字段映射。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。