收集 AWS Macie 日志

支持的平台:

本文档介绍了如何将 AWS Macie 日志提取到 Google Security Operations。AWS Macie 是一项安全服务,可使用机器学习自动发现、分类和保护敏感数据。通过此集成,您可以将 Macie 日志发送到 Google SecOps,以进行增强型分析和监控。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 AWS 的特权访问权限。

配置 Amazon S3 和 IAM

  1. 按照以下用户指南创建 Amazon S3 存储分区创建存储分区
  2. 保存存储分区的名称区域,以备日后使用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 点击访问密钥部分中的创建访问密钥
  7. 选择第三方服务作为用例
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 CSV 文件,保存访问密钥密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

可选:配置 AWS Macie

  1. 登录 AWS Management Console
  2. 在搜索栏中输入 Macie,然后从服务列表中选择该服务。
  3. 点击创建作业
  4. 创建新存储分区或继续使用现有存储分区。
  5. 添加安排作业
  6. 选择所有受管数据标识符。
  7. 跳过选择自定义数据标识符,然后点击下一步
  8. 跳过选择许可名单,然后点击下一步
  9. 提供有意义的名称和说明。
  10. 点击下一步
  11. 检查并点击提交

为 AWS Macie 配置 CloudTrail

  1. 登录 AWS Management Console

  2. 在搜索栏中输入 CloudTrail,然后从服务列表中选择该服务。

  3. 如果您想继续创建新轨迹,请点击创建轨迹

  4. 提供轨迹名称(例如 Macie-Activity-Trail)。

  5. 选中为组织中的所有账号启用复选框。

  6. 输入之前创建的 S3 存储分区 URI(格式应为:s3://your-log-bucket-name/),或创建新的 S3 存储分区。

  7. 如果启用了 SSE-KMS,请为 AWS KMS 别名提供名称,或选择现有的 AWS KMS 密钥

  8. 您可以将其他设置保留为默认设置。

  9. 点击下一步

  10. 在“事件类型”下,选择管理事件数据事件

  11. 点击下一步

  12. 检查并创建中检查设置。

  13. 点击创建小路

  14. 可选:如果您创建了新存储分区,请继续执行以下流程:

    1. 前往 S3
    2. 找到并选择新创建的日志存储分区。
    3. 选择文件夹 AWSLogs
    4. 点击复制 S3 URI 并保存。

在 Google SecOps 中配置 Feed 以提取 AWS Macie 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 AWS Macie 日志)。
  4. 选择 Amazon S3 作为来源类型
  5. 选择 AWS Macie 作为日志类型
  6. 点击下一步

  7. 为以下输入参数指定值:

    • 区域:Amazon S3 存储分区所在的区域。
    • S3 URI:存储分区 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为存储分区的实际名称。
    • URI 是:选择目录包含子目录的目录

    • 来源删除选项:根据您的偏好选择删除选项。

    • 访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。

    • 私有访问密钥:有权访问 S3 存储分区的用户私有密钥。

    • 资源命名空间资源命名空间

    • 提取标签:要应用于此 Feed 中的事件的标签。

  8. 点击下一步

  9. 最终确定界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
accountId principal.group.product_object_id 直接从 accountId 字段映射。
category security_result.category_details 直接从 category 字段映射。
classificationDetails.jobArn security_result.rule_name 直接从 classificationDetails.jobArn 字段映射。
classificationDetails.jobId security_result.rule_id 直接从 classificationDetails.jobId 字段映射。
classificationDetails.originType security_result.rule_type 直接从 classificationDetails.originType 字段映射。
classificationDetails.result.mimeType target.file.mime_type 直接从 classificationDetails.result.mimeType 字段映射。
classificationDetails.result.sensitiveData.category security_result.detection_fields.value 直接从 classificationDetails.result.sensitiveData.category 字段映射。解析器会迭代 sensitiveData 数组并创建多个 detection_fields 对象。
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value 直接从 classificationDetails.result.sensitiveData.totalCount 字段映射。解析器会迭代 sensitiveData 数组并创建多个 detection_fields 对象。
createdAt metadata.event_timestamp createdAt 字段解析并转换为 UDM 时间戳格式。
description security_result.description 直接从 description 字段映射。
id metadata.product_log_id 直接从 id 字段映射。在解析器中硬编码为 SCAN_FILE。取自原始日志中的顶级 log_type 字段。在解析器中硬编码为 AWS Macie。直接从 schemaVersion 字段映射。在解析器中硬编码为 AMAZON。由 resourcesAffected.s3Bucket.nameregion 和字符串“.s3.amazonaws.com”串联而成。
region target.location.name 直接从 region 字段映射。
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id 直接从 resourcesAffected.s3Bucket.arn 字段映射。
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time resourcesAffected.s3Bucket.createdAt 字段解析并转换为 UDM 时间戳格式。
resourcesAffected.s3Bucket.name target.resource_ancestors.name 直接从 resourcesAffected.s3Bucket.name 字段映射。
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name 直接从 resourcesAffected.s3Bucket.owner.displayName 字段映射。
resourcesAffected.s3Bucket.owner.id target.user.userid 直接从 resourcesAffected.s3Bucket.owner.id 字段映射。
resourcesAffected.s3Object.eTag target.file.md5 直接从 resourcesAffected.s3Object.eTag 字段映射。
resourcesAffected.s3Object.key target.file.names 直接从 resourcesAffected.s3Object.key 字段映射。
resourcesAffected.s3Object.key target.resource.name 直接从 resourcesAffected.s3Object.key 字段映射。
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time resourcesAffected.s3Object.lastModified 字段解析并转换为 UDM 时间戳格式。
resourcesAffected.s3Object.path target.file.full_path 带有“s3://”前缀,并从 resourcesAffected.s3Object.path 字段映射而来。
resourcesAffected.s3Object.path target.resource.product_object_id 直接从 resourcesAffected.s3Object.path 字段映射。
resourcesAffected.s3Object.size target.file.size 转换为无符号整数后,直接从 resourcesAffected.s3Object.size 字段映射。
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value 直接从 resourcesAffected.s3Object.storageClass 字段映射。该键已硬编码为“storageClass”。在解析器中硬编码为 DATA_AT_REST
security_result.detection_fields.key categorytotalCount 检测字段的硬编码键。
severity.description security_result.severity severity.description 字段映射而来。“低”映射到 LOW、“中”映射到 MEDIUM,而“高”映射到 HIGH。在解析器中硬编码为 AMAZON_WEB_SERVICES。在解析器中硬编码为 STORAGE_OBJECT。在解析器中硬编码为 STORAGE_BUCKET
title security_result.summary 直接从 title 字段映射。
type metadata.product_event_type 直接从 type 字段映射。

变化

2022-08-08

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。