Mengumpulkan log AWS Security Hub

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Security Hub ke Google Security Operations. AWS Security Hub memberikan gambaran menyeluruh tentang pemberitahuan dan temuan keamanan di seluruh akun AWS. Dengan mengirimkan temuan ini ke Google SecOps, Anda dapat menggunakan kemampuan Google SecOps untuk meningkatkan pemantauan dan deteksi ancaman.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi AWS IAM

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi AWS Security Hub untuk meneruskan temuan dengan EventBridge

  1. Login ke AWS Management Console.
  2. Di kotak penelusuran, ketik dan pilih Security Hub dari daftar layanan.
  3. Klik Setelan.
  4. Di bagian Integrasi, temukan EventBridge, lalu klik Aktifkan.
  5. Di kotak penelusuran, ketik dan pilih EventBridge dari daftar layanan.
  6. Di Konsol EventBridge, klik Aturan > Buat aturan.
  7. Berikan konfigurasi Aturan berikut:
    1. Nama Aturan: berikan nama deskriptif untuk aturan (misalnya, SendSecurityHubFindingsToS3).
    2. Sumber Peristiwa: pilih layanan AWS.
    3. Nama Layanan: pilih Security Hub.
    4. Jenis Peristiwa: pilih Temuan Security Hub.
    5. Tetapkan Target: pilih bucket S3 sebagai target untuk temuan.
    6. Bucket S3: pilih bucket tempat temuan akan disimpan.
      • Jika Anda belum menyiapkan bucket S3, buat bucket:
      • Buka Konsol S3 .
      • Klik Create bucket.
      • Berikan nama bucket (misalnya, securityhub-findings-logs).
      • Klik Buat.
    7. Konfigurasi Izin: EventBridge akan otomatis mengonfigurasi izin yang diperlukan agar dapat mengirim temuan ke bucket S3 yang ditentukan (jika Anda menggunakan bucket kustom, pastikan izin S3 yang sesuai sudah ada untuk memungkinkan EventBridge menulis log ke bucket).
  8. Klik Buat.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Security Hub

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Security Hub Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Security Hub sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
account principal.group.product_object_id ID akun AWS yang terkait dengan temuan.
configurationItem.ARN target.resource.id Amazon Resource Name (ARN) item konfigurasi.
configurationItem.awsAccountId principal.user.userid ID akun AWS item konfigurasi.
configurationItem.awsRegion target.asset.location.country_or_region Region AWS item konfigurasi.
configurationItem.configuration.complianceType security_result.summary Jenis kepatuhan item konfigurasi.
configurationItem.configuration.configRuleList[].complianceType security_result.summary Status kepatuhan untuk setiap aturan konfigurasi.
configurationItem.configuration.configRuleList[].configRuleArn security_result.rule_id ARN aturan AWS Config.
configurationItem.configuration.configRuleList[].configRuleId security_result.about.labels.configRuleId ID aturan AWS Config.
configurationItem.configuration.configRuleList[].configRuleName security_result.rule_name Nama aturan AWS Config.
configurationItem.configuration.privateIpAddress target.ip Alamat IP pribadi item konfigurasi.
configurationItem.configuration.publicIpAddress target.ip Alamat IP publik item konfigurasi.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Waktu pengambilan item konfigurasi, yang dikonversi menjadi stempel waktu.
configurationItem.configurationItemStatus target.asset.attribute.labels.Configuration Item Status Status item konfigurasi.
configurationItem.relationships[].resourceId target.asset.attribute.cloud.vpc.id ID resource dari resource terkait, yang digunakan untuk ID VPC jika cocok dengan "vpc".
configurationItem.resourceId target.resource.id ID resource item konfigurasi.
configurationItem.resourceName target.resource.name Nama resource.
configurationItem.resourceType target.resource.resource_subtype Jenis resource item konfigurasi.
configurationItem.tags.Contact principal.user.user_display_name ATAU principal.user.email_addresses Detail kontak yang diekstrak dari tag, diuraikan untuk email dan nama pengguna.
configurationItem.tags.OS/configurationItem.tags.Os target.asset.platform_software.platform Sistem operasi dari tag, yang dipetakan ke platform jika "Windows" atau "Linux".
configurationItemDiff.changeType metadata.event_type Jenis perubahan, yang dipetakan ke RESOURCE_WRITTEN atau RESOURCE_CREATION.
detail.accountId principal.group.product_object_id ID akun AWS yang terkait dengan temuan.
detail.actionDescription detail.actionName detail.description sec_result.description Deskripsi temuan.
detail.findings[].AwsAccountId principal.group.product_object_id ID akun AWS yang terkait dengan temuan.
detail.findings[].CompanyName detail.findings[].CreatedAt detail.findings[].Description sec_result.description Deskripsi temuan.
detail.findings[].FindingProviderFields.Severity.Label sec_result.severity Label keparahan temuan, dikonversi menjadi huruf besar.
detail.findings[].FindingProviderFields.Types[] detail.findings[].FirstObservedAt detail.findings[].GeneratorId detail.findings[].Id detail.findings[].LastObservedAt detail.findings[].ProductArn detail.findings[].ProductFields. Lihat di bawah Berbagai kolom yang digunakan untuk kolom tambahan, informasi akun utama, dan target.
detail.findings[].ProductName detail.findings[].RecordState detail.findings[].Region target.location.name Region AWS temuan.
detail.findings[].Resources[].Details. Lihat di bawah Detail tentang resource yang terlibat dalam temuan.
detail.findings[].Resources[].Id target.resource.product_object_id ID resource.
detail.findings[].Resources[].Partition detail.findings[].Resources[].Region target.location.name Region AWS resource.
detail.findings[].Resources[].Tags detail.findings[].Resources[].Type target.resource.resource_type, target.resource.resource_subtype, metadata.event_type Jenis resource, yang digunakan untuk pemetaan jenis resource, subjenis, dan jenis peristiwa.
detail.findings[].Sample detail.findings[].SchemaVersion detail.findings[].Severity.Label detail.findings[].SourceUrl detail.findings[].Title sec_result.summary Judul temuan.
detail.findings[].Types[] detail.findings[].UpdatedAt detail.findings[].Workflow.Status detail.findings[].WorkflowState detail-type metadata.product_event_type Jenis detail peristiwa.
id metadata.product_log_id ID peristiwa.
region target.location.name Region AWS peristiwa.
resources[] source time version (Logika Parser) metadata.event_timestamp Waktu pembuatan dari entri log asli, yang digunakan sebagai stempel waktu peristiwa.
(Logika Parser) metadata.log_type Tetapkan ke "AWS_SECURITY_HUB".
(Logika Parser) metadata.product_name Tetapkan ke "AWS Security Hub".
(Logika Parser) metadata.vendor_name Tetapkan ke "AMAZON".
(Logika Parser) target.asset.attribute.cloud.environment Tetapkan ke "AMAZON_WEB_SERVICES".
(Logika Parser) metadata.event_type Tetapkan ke "USER_RESOURCE_ACCESS" sebagai default jika tidak dipetakan dari Resources[].Type atau configurationItemDiff.changeType. Tetapkan ke "STATUS_UPDATE" jika configurationItems ada dan tidak ada jenis peristiwa lain yang ditetapkan. Tetapkan ke "RESOURCE_READ" jika configurationItem atau configurationItems ada dan statusnya "OK" atau "ResourceDiscovered". Tetapkan ke "RESOURCE_DELETION" jika configurationItem atau configurationItems ada dan statusnya adalah "ResourceDeleted".
(Logika Parser) metadata.description Tetapkan ke "guardduty" jika detail.findings[].ProductFields.aws/guardduty/service/serviceName ada.
(Logika Parser) target.asset.attribute.cloud.vpc.resource_type Tetapkan ke "VPC_NETWORK" jika configurationItems.relationships[].resourceId cocok dengan "vpc".
(Logika Parser) target.resource.resource_type Tetapkan ke "VIRTUAL_MACHINE" jika configurationItem atau configurationItems ada. Tetapkan ke "UNSPECIFIED" jika tidak ada jenis resource lain yang ditetapkan.
(Logika Parser) target.asset.platform_software.platform Tetapkan ke "WINDOWS" atau "LINUX" berdasarkan keberadaan "Windows" atau "(Linux
(Logika Parser) disambiguation_key Ditambahkan saat beberapa peristiwa dihasilkan dari satu entri log.

Perubahan

2023-06-20

  • Peningkatan:
  • Mengubah "metadata.event_type" dari "GENERIC_EVENT" menjadi "USER_RESOURCE_ACCESS".

24-03-2023

  • Peningkatan:
  • when "detail.findings.0.Resources.0.Type" == "AwsEcsTaskDefinition" -
  • Memetakan "target.resource.resource_type" ke "TASK".
  • Memetakan "event_type" ke "USER_RESOURCE_ACCESS".
  • Memetakan "detail.findings.0.ProductFields.Resources:0/Id" ke "principal.asset_id".
  • Mengurai semua log yang gagal lainnya sebagai GENERIC_EVENT karena STATUS_UPDATE bukan opsi penguraian yang baik untuk log tersebut.

2022-08-22

  • Peningkatan:
  • Memperbarui vendor_name dari "AWS SECURITY HUB" menjadi "AMAZON".
  • Memperbarui product_name dari "AWS SECURITY HUB" menjadi "AWS Security Hub".
  • Me-parse log format JSON baru yang berisi "configurationItem" atau "configurationItems".
  • Menangani log yang diserap sebagai file impor dengan memisahkannya menggunakan loop for dan mengurai setiap log sebagai peristiwa terpisah.

2022-07-01

  • Parser yang Baru Dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.