收集 AWS Macie 記錄

支援的國家/地區:

本文說明如何將 AWS Macie 記錄擷取至 Google Security Operations。AWS Macie 是一項安全防護服務,可運用機器學習技術自動探索、分類及保護機密資料。整合後,您就能將 Macie 記錄傳送至 Google SecOps,進行更深入的分析和監控。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 Amazon S3 和 IAM

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 儲存 bucket 的「名稱」和「區域」,稍後會用到。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

選用步驟:設定 AWS Macie

  1. 登入 AWS 管理主控台
  2. 在搜尋列中輸入並選取服務清單中的「Macie」
  3. 按一下「Create job」(建立工作)
  4. 建立新值區或繼續使用現有值區。
  5. 新增「安排工作時間表」
  6. 選取所有受管理資料 ID。
  7. 略過「選取自訂資料 ID」,然後按一下「下一步」
  8. 略過「選取允許清單」,然後按一下「下一步」
  9. 提供有意義的名稱和說明。
  10. 點選「下一步」
  11. 檢查並按一下「提交」

如何為 AWS Macie 設定 CloudTrail

  1. 登入 AWS 管理主控台

  2. 在搜尋列中輸入並選取服務清單中的 CloudTrail

  3. 如要繼續使用新追蹤記錄,請按一下「建立追蹤記錄」

  4. 提供「追蹤記錄名稱」(例如「Macie-Activity-Trail」)。

  5. 勾選「為機構中的所有帳戶啟用」核取方塊。

  6. 輸入先前建立的 S3 bucket URI (格式應為 s3://your-log-bucket-name/),或建立新的 S3 bucket。

  7. 如果啟用 SSE-KMS,請提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰

  8. 其他設定可維持預設值。

  9. 點選「下一步」

  10. 在「事件類型」下方,選取「管理事件」和「資料事件」

  11. 點選「下一步」

  12. 在「檢閱並建立」中檢查設定。

  13. 按一下「建立路徑」

  14. 選用:如果您建立了新的 bucket,請繼續進行下列程序:

    1. 前往 S3
    2. 找出並選取新建立的記錄檔 bucket。
    3. 選取「AWSLogs」AWSLogs資料夾。
    4. 按一下「複製 S3 URI」並儲存。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS Macie 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出 AWS Macie 記錄類型。

  3. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
accountId principal.group.product_object_id 直接從「accountId」欄位對應。
category security_result.category_details 直接從「category」欄位對應。
classificationDetails.jobArn security_result.rule_name 直接從「classificationDetails.jobArn」欄位對應。
classificationDetails.jobId security_result.rule_id 直接從「classificationDetails.jobId」欄位對應。
classificationDetails.originType security_result.rule_type 直接從「classificationDetails.originType」欄位對應。
classificationDetails.result.mimeType target.file.mime_type 直接從「classificationDetails.result.mimeType」欄位對應。
classificationDetails.result.sensitiveData.category security_result.detection_fields.value 直接從「classificationDetails.result.sensitiveData.category」欄位對應。剖析器會疊代 sensitiveData 陣列,並建立多個 detection_fields 物件。
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value 直接從「classificationDetails.result.sensitiveData.totalCount」欄位對應。剖析器會疊代 sensitiveData 陣列,並建立多個 detection_fields 物件。
createdAt metadata.event_timestamp createdAt 欄位剖析並轉換為 UDM 時間戳記格式。
description security_result.description 直接從「description」欄位對應。
id metadata.product_log_id 直接從「id」欄位對應。剖析器中已硬式編碼為 SCAN_FILE。取自原始記錄檔中的頂層 log_type 欄位。剖析器中已硬式編碼為 AWS Macie。直接從「schemaVersion」欄位對應。剖析器中已硬式編碼為 AMAZON。由 resourcesAffected.s3Bucket.nameregion 和字串「.s3.amazonaws.com」串連而成。
region target.location.name 直接從「region」欄位對應。
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id 直接從「resourcesAffected.s3Bucket.arn」欄位對應。
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time resourcesAffected.s3Bucket.createdAt 欄位剖析並轉換為 UDM 時間戳記格式。
resourcesAffected.s3Bucket.name target.resource_ancestors.name 直接從「resourcesAffected.s3Bucket.name」欄位對應。
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name 直接從「resourcesAffected.s3Bucket.owner.displayName」欄位對應。
resourcesAffected.s3Bucket.owner.id target.user.userid 直接從「resourcesAffected.s3Bucket.owner.id」欄位對應。
resourcesAffected.s3Object.eTag target.file.md5 直接從「resourcesAffected.s3Object.eTag」欄位對應。
resourcesAffected.s3Object.key target.file.names 直接從「resourcesAffected.s3Object.key」欄位對應。
resourcesAffected.s3Object.key target.resource.name 直接從「resourcesAffected.s3Object.key」欄位對應。
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time resourcesAffected.s3Object.lastModified 欄位剖析並轉換為 UDM 時間戳記格式。
resourcesAffected.s3Object.path target.file.full_path 前置字元為「s3://」,並從 resourcesAffected.s3Object.path 欄位對應。
resourcesAffected.s3Object.path target.resource.product_object_id 直接從「resourcesAffected.s3Object.path」欄位對應。
resourcesAffected.s3Object.size target.file.size 轉換為不帶正負號的整數後,直接從 resourcesAffected.s3Object.size 欄位對應。
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value 直接從「resourcesAffected.s3Object.storageClass」欄位對應。索引鍵已硬式編碼為「storageClass」。在剖析器中硬式編碼為 DATA_AT_REST
security_result.detection_fields.key categorytotalCount 偵測欄位的硬式編碼鍵。
severity.description security_result.severity 對應「severity.description」欄位。「低」對應至 LOW、「中」對應至 MEDIUM、「高」對應至 HIGH。剖析器中已硬式編碼為 AMAZON_WEB_SERVICES。剖析器中已硬式編碼為 STORAGE_OBJECT。在剖析器中硬式編碼為 STORAGE_BUCKET
title security_result.summary 直接從「title」欄位對應。
type metadata.product_event_type 直接從「type」欄位對應。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。