Recolha registos do AWS Session Manager

Compatível com:

Este documento explica como carregar registos do AWS Session Manager para o Google Security Operations. O AWS Session Manager oferece acesso seguro e auditável a instâncias do Amazon EC2 e servidores no local. Ao integrar os respetivos registos no Google SecOps, pode melhorar a sua postura de segurança e acompanhar os eventos de acesso remoto.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Configure o AWS IAM e o S3

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o Nome e a Região do contentor para utilização posterior.
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Como configurar o AWS Session Manager para guardar registos no S3

  1. Aceda à consola do AWS Systems Manager.
  2. No painel de navegação, selecione Gestor de sessões.
  3. Clique no separador Preferências.
  4. Clique em Edit.
  5. Em Registo do S3, selecione a caixa de verificação Ativar.
  6. Desmarque a caixa de verificação Permitir apenas contentores S3 encriptados.
  7. Selecione um contentor do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de registo de sessões.
  8. Introduza o nome de um contentor do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de registo de sessões.
  9. Clique em Guardar.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo feed
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Session Manager

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registo AWS Session Manager.

  3. Especifique os valores nos seguintes campos.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila SQS a partir da qual ler
    • URI do S3: o URI do contentor.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

    • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
--cid metadata.description Parte do campo de descrição quando presente no registo
--collector.filesystem.ignored-mount-points metadata.description Parte do campo de descrição quando presente no registo
--collector.vmstat.fields metadata.description Parte do campo de descrição quando presente no registo
--message-log metadata.description Parte do campo de descrição quando presente no registo
--name metadata.description Parte do campo de descrição quando presente no registo
--net metadata.description Parte do campo de descrição quando presente no registo
--path.procfs metadata.description Parte do campo de descrição quando presente no registo
--path.rootfs metadata.description Parte do campo de descrição quando presente no registo
--path.sysfs metadata.description Parte do campo de descrição quando presente no registo
-v /:/rootfs:ro metadata.description Parte do campo de descrição quando presente no registo
-v /proc:/host/proc metadata.description Parte do campo de descrição quando presente no registo
-v /sys:/host/sys metadata.description Parte do campo de descrição quando presente no registo
CID metadata.description Parte do campo de descrição quando presente no registo
ERROR security_result.severity Extraído da mensagem de registo através da correspondência de padrões grok.
falconctl metadata.description Parte do campo de descrição quando presente no registo
ip-1-2-4-2 principal.ip Extraído da mensagem de registo através da correspondência de padrões grok e convertido num formato de endereço IP padrão.
ip-1-2-8-6 principal.ip Extraído da mensagem de registo através da correspondência de padrões grok e convertido num formato de endereço IP padrão.
java target.process.command_line Extraído da mensagem de registo através da correspondência de padrões grok.
Jun13 metadata.event_timestamp.seconds Parte do campo de data/hora quando presente no registo, combinado com os campos month_date e time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Extraído da mensagem de registo através da correspondência de padrões grok.
root principal.user.userid Extraído da mensagem de registo através da correspondência de padrões grok.
metadata.event_type Determinado com base na presença e nos valores de outros campos:
– "STATUS_UPDATE" se src_ip estiver presente.
- "NETWORK_CONNECTION" se src_ip e dest_ip estiverem presentes.
- "USER_UNCATEGORIZED" se user_id estiver presente.
- "GENERIC_EVENT" caso contrário.
metadata.log_type Definido como "AWS_SESSION_MANAGER".
metadata.product_name Definido como "AWS Session Manager".
metadata.vendor_name Definido como "Amazon".
target.process.pid Extraído da mensagem de registo através da correspondência de padrões grok.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.