收集 AWS Session Manager 記錄

支援的國家/地區:

本文說明如何將 AWS Session Manager 記錄擷取至 Google Security Operations。AWS Session Manager 可安全地存取 Amazon EC2 執行個體和內部部署伺服器,並提供稽核功能。將記錄檔整合至 Google SecOps 後,您就能提升安全防護機制,並追蹤遠端存取事件。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 AWS IAM 和 S3

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 儲存 bucket 的「名稱」和「區域」,稍後會用到。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

如何設定 AWS Session Manager,將記錄檔儲存至 S3

  1. 前往 AWS Systems Manager 主控台
  2. 在導覽窗格中,選取「Session Manager」
  3. 按一下「偏好設定」分頁標籤。
  4. 按一下 [編輯]
  5. 在「S3 logging」(S3 記錄) 下方,勾選「Enable」(啟用) 核取方塊。
  6. 取消選取「僅允許加密的 S3 值區」核取方塊。
  7. 選取帳戶中已建立的 Amazon S3 值區,用來儲存工作階段記錄資料。
  8. 輸入已在帳戶中建立的 Amazon S3 bucket 名稱,用來儲存工作階段記錄資料。
  9. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS Session Manager 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出「AWS Session Manager」記錄檔類型。

  3. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
--cid metadata.description 記錄中顯示的說明欄位部分內容
--collector.filesystem.ignored-mount-points metadata.description 記錄中顯示的說明欄位部分內容
--collector.vmstat.fields metadata.description 記錄中顯示的說明欄位部分內容
--message-log metadata.description 記錄中顯示的說明欄位部分內容
--name metadata.description 記錄中顯示的說明欄位部分內容
--net metadata.description 記錄中顯示的說明欄位部分內容
--path.procfs metadata.description 記錄中顯示的說明欄位部分內容
--path.rootfs metadata.description 記錄中顯示的說明欄位部分內容
--path.sysfs metadata.description 記錄中顯示的說明欄位部分內容
-v /:/rootfs:ro metadata.description 記錄中顯示的說明欄位部分內容
-v /proc:/host/proc metadata.description 記錄中顯示的說明欄位部分內容
-v /sys:/host/sys metadata.description 記錄中顯示的說明欄位部分內容
CID metadata.description 記錄中顯示的說明欄位部分內容
ERROR security_result.severity 使用 grok 模式比對從記錄訊息中擷取。
falconctl metadata.description 記錄中顯示的說明欄位部分內容
ip-1-2-4-2 principal.ip 使用 grok 模式比對從記錄檔訊息中擷取,並轉換為標準 IP 位址格式。
ip-1-2-8-6 principal.ip 使用 grok 模式比對從記錄檔訊息中擷取,並轉換為標準 IP 位址格式。
java target.process.command_line 使用 grok 模式比對從記錄訊息中擷取。
Jun13 metadata.event_timestamp.seconds 記錄檔中的時間戳記欄位部分,與 month_date 和 time_stamp 欄位合併。
[kworker/u16:8-kverityd] target.process.command_line 使用 grok 模式比對從記錄訊息中擷取。
root principal.user.userid 使用 grok 模式比對從記錄訊息中擷取。
metadata.event_type 根據其他欄位的存在和值判斷:
- 如果有 src_ip,則為「STATUS_UPDATE」。
- 如果 src_ip 和 dest_ip 都存在,則為「NETWORK_CONNECTION」。
- 如果有 user_id,則為「USER_UNCATEGORIZED」。
- 否則為「GENERIC_EVENT」。
metadata.log_type 設為「AWS_SESSION_MANAGER」。
metadata.product_name 設為「AWS Session Manager」。
metadata.vendor_name 設為「Amazon」。
target.process.pid 使用 grok 模式比對從記錄訊息中擷取。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。