Coletar registros do AWS Session Manager

Compatível com:

Este documento explica como ingerir registros do AWS Session Manager no Google Security Operations. O AWS Session Manager oferece acesso seguro e auditável a instâncias do Amazon EC2 e servidores locais. Ao integrar os registros ao Google SecOps, você melhora sua postura de segurança e rastreia eventos de acesso remoto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Configurar o AWS IAM e o S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para uso posterior.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Como configurar o AWS Session Manager para salvar registros no S3

  1. Acesse o console do AWS Systems Manager.
  2. No painel de navegação, selecione Gerenciador de sessões.
  3. Clique na guia Preferências.
  4. Clique em Editar.
  5. Em "Registro do S3", marque a caixa de seleção Ativar.
  6. Desmarque a caixa de seleção Permitir apenas buckets criptografados do S3.
  7. Selecione um bucket do Amazon S3 já criado na sua conta para armazenar dados de registros de sessão.
  8. Insira o nome de um bucket do Amazon S3 que já foi criado na sua conta para armazenar dados de registro de sessão.
  9. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo feed
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Session Manager

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro AWS Session Manager.

  3. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
--cid metadata.description Parte do campo de descrição quando presente no registro
--collector.filesystem.ignored-mount-points metadata.description Parte do campo de descrição quando presente no registro
--collector.vmstat.fields metadata.description Parte do campo de descrição quando presente no registro
--message-log metadata.description Parte do campo de descrição quando presente no registro
--name metadata.description Parte do campo de descrição quando presente no registro
--net metadata.description Parte do campo de descrição quando presente no registro
--path.procfs metadata.description Parte do campo de descrição quando presente no registro
--path.rootfs metadata.description Parte do campo de descrição quando presente no registro
--path.sysfs metadata.description Parte do campo de descrição quando presente no registro
-v /:/rootfs:ro metadata.description Parte do campo de descrição quando presente no registro
-v /proc:/host/proc metadata.description Parte do campo de descrição quando presente no registro
-v /sys:/host/sys metadata.description Parte do campo de descrição quando presente no registro
CID metadata.description Parte do campo de descrição quando presente no registro
ERROR security_result.severity Extraído da mensagem de registro usando a correspondência de padrões grok.
falconctl metadata.description Parte do campo de descrição quando presente no registro
ip-1-2-4-2 principal.ip Extraído da mensagem de registro usando a correspondência de padrões grok e convertido para um formato de endereço IP padrão.
ip-1-2-8-6 principal.ip Extraído da mensagem de registro usando a correspondência de padrões grok e convertido para um formato de endereço IP padrão.
java target.process.command_line Extraído da mensagem de registro usando a correspondência de padrões grok.
Jun13 metadata.event_timestamp.seconds Parte do campo de carimbo de data/hora quando presente no registro, combinada com os campos "month_date" e "time_stamp".
[kworker/u16:8-kverityd] target.process.command_line Extraído da mensagem de registro usando a correspondência de padrões grok.
root principal.user.userid Extraído da mensagem de registro usando a correspondência de padrões grok.
metadata.event_type Determinado com base na presença e nos valores de outros campos:
- "STATUS_UPDATE" se src_ip estiver presente.
: "NETWORK_CONNECTION" se src_ip e dest_ip estiverem presentes.
: "USER_UNCATEGORIZED" se user_id estiver presente.
- "GENERIC_EVENT" caso contrário.
metadata.log_type Defina como "AWS_SESSION_MANAGER".
metadata.product_name Defina como "AWS Session Manager".
metadata.vendor_name Defina como "Amazon".
target.process.pid Extraído da mensagem de registro usando a correspondência de padrões grok.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.