Raccogli i log di AWS Session Manager

Supportato in:

Questo documento spiega come importare i log di AWS Session Manager in Google Security Operations. AWS Session Manager fornisce accesso sicuro e verificabile alle istanze Amazon EC2 e ai server on-premise. Se ne integri i log in Google SecOps, puoi migliorare la tua security posture e monitorare gli eventi di accesso remoto.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS.

Configura AWS IAM e S3

  1. Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket
  2. Salva Nome e Regione del bucket per utilizzarli in un secondo momento.
  3. Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per utilizzarle in un secondo momento.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri di autorizzazione.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configurare AWS Session Manager per salvare i log in S3

  1. Vai alla console AWS Systems Manager.
  2. Nel riquadro di navigazione, seleziona Session Manager.
  3. Fai clic sulla scheda Preferenze.
  4. Fai clic su Modifica.
  5. In Log di S3, seleziona la casella di controllo Attiva.
  6. Deseleziona la casella di controllo Consenti solo i bucket S3 criptati.
  7. Seleziona un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log delle sessioni.
  8. Inserisci il nome di un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log delle sessioni.
  9. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di AWS Session Manager

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di AWS Session Manager).
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona AWS Session Manager come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
--cid metadata.description Parte del campo della descrizione, se presente nel log
--collector.filesystem.ignored-mount-points metadata.description Parte del campo della descrizione, se presente nel log
--collector.vmstat.fields metadata.description Parte del campo della descrizione, se presente nel log
--message-log metadata.description Parte del campo della descrizione, se presente nel log
--name metadata.description Parte del campo della descrizione, se presente nel log
--net metadata.description Parte del campo della descrizione, se presente nel log
--path.procfs metadata.description Parte del campo della descrizione, se presente nel log
--path.rootfs metadata.description Parte del campo della descrizione, se presente nel log
--path.sysfs metadata.description Parte del campo della descrizione, se presente nel log
-v /:/rootfs:ro metadata.description Parte del campo della descrizione, se presente nel log
-v /proc:/host/proc metadata.description Parte del campo della descrizione, se presente nel log
-v /sys:/host/sys metadata.description Parte del campo della descrizione, se presente nel log
CID metadata.description Parte del campo della descrizione, se presente nel log
ERROR security_result.severity Estratto dal messaggio di log utilizzando la corrispondenza di pattern Grok.
falconctl metadata.description Parte del campo della descrizione, se presente nel log
ip-1-2-4-2 principal.ip Estratto dal messaggio di log utilizzando la corrispondenza dei pattern Grok e convertito in un formato di indirizzo IP standard.
ip-1-2-8-6 principal.ip Estratto dal messaggio di log utilizzando la corrispondenza dei pattern Grok e convertito in un formato di indirizzo IP standard.
java target.process.command_line Estratto dal messaggio di log utilizzando la corrispondenza di pattern Grok.
Jun13 metadata.event_timestamp.seconds Componente del campo timestamp, se presente nel log, combinato con i campi month_date e time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Estratto dal messaggio di log utilizzando la corrispondenza di pattern Grok.
root principal.user.userid Estratto dal messaggio di log utilizzando la corrispondenza di pattern Grok.
metadata.event_type Determinato in base alla presenza e ai valori di altri campi:
- "STATUS_UPDATE" se è presente src_ip.
- "NETWORK_CONNECTION" se sono presenti sia src_ip che dest_ip.
- "USER_UNCATEGORIZED" se è presente user_id.
- "GENERIC_EVENT" in caso contrario.
metadata.log_type Imposta su "AWS_SESSION_MANAGER".
metadata.product_name Imposta su "AWS Session Manager".
metadata.vendor_name Impostato su "Amazon".
target.process.pid Estratto dal messaggio di log utilizzando la corrispondenza di pattern Grok.

Modifiche

2023-06-14

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.