Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de AWS Session Manager

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros de AWS Session Manager a Google Security Operations. AWS Session Manager proporciona acceso seguro y auditable a las instancias de Amazon EC2 y a los servidores locales. Si integras sus registros en Google SecOps, puedes mejorar tu postura de seguridad y hacer un seguimiento de los eventos de acceso remoto.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de tener acceso con privilegios a AWS.

Configura AWS IAM y S3

Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
Guarda el Nombre y la Región del bucket para usarlos más adelante.
Crea un usuario siguiendo esta guía: Cómo crear un usuario de IAM.
Selecciona el Usuario creado.
Selecciona la pestaña Credenciales de seguridad.
Haz clic en Crear clave de acceso en la sección Claves de acceso.
Selecciona Servicio de terceros como Caso de uso.
Haz clic en Siguiente.
Opcional: Agrega una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la Clave de acceso y la Clave de acceso secreta para usarlas más tarde.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Agregar permisos en la sección Políticas de permisos.
Selecciona Agregar permisos.
Selecciona Adjuntar políticas directamente.
Busca y selecciona la política AmazonS3FullAccess.
Haz clic en Siguiente.
Haz clic en Agregar permisos.

Configura AWS Session Manager para guardar registros en S3

Ve a la consola de AWS Systems Manager.
En el panel de navegación, selecciona Session Manager.
Haz clic en la pestaña Preferencias.
Haz clic en Editar.
En Registro de S3, selecciona la casilla de verificación Habilitar.
Anula la selección de la casilla de verificación Permitir solo buckets de S3 encriptados.
Selecciona un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de sesión.
Ingresa el nombre de un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de sesión.
Haz clic en Guardar.

Configura un feed en Google SecOps para transferir los registros de AWS Session Manager

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Session Manager).
Selecciona Amazon S3 como el Tipo de fuente.
Selecciona AWS Session Manager como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket.
  - s3://your-log-bucket-name/
    - Reemplaza your-log-bucket-name por el nombre real del bucket.
- El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`--cid`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--collector.filesystem.ignored-mount-points`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--collector.vmstat.fields`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--message-log`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--name`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--net`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--path.procfs`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--path.rootfs`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`--path.sysfs`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`-v /:/rootfs:ro`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`-v /proc:/host/proc`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`-v /sys:/host/sys`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`CID`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`ERROR`	security_result.severity	Se extrae del mensaje de registro con la coincidencia de patrones grok.
`falconctl`	metadata.description	Es parte del campo de descripción cuando está presente en el registro.
`ip-1-2-4-2`	principal.ip	Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
`ip-1-2-8-6`	principal.ip	Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
`java`	target.process.command_line	Se extrae del mensaje de registro con la coincidencia de patrones grok.
`Jun13`	metadata.event_timestamp.seconds	Es parte del campo de marca de tiempo cuando está presente en el registro, combinado con los campos month_date y time_stamp.
`[kworker/u16:8-kverityd]`	target.process.command_line	Se extrae del mensaje de registro con la coincidencia de patrones grok.
`root`	principal.user.userid	Se extrae del mensaje de registro con la coincidencia de patrones grok.
	metadata.event_type	Se determina en función de la presencia y los valores de otros campos: : “STATUS_UPDATE” si src_ip está presente. : "NETWORK_CONNECTION" si están presentes src_ip y dest_ip. : "USER_UNCATEGORIZED" si está presente user_id. : "GENERIC_EVENT" de lo contrario.
	metadata.log_type	Establece el valor en "AWS_SESSION_MANAGER".
	metadata.product_name	Configúralo como "AWS Session Manager".
	metadata.vendor_name	Se establece en “Amazon”.
	target.process.pid	Se extrae del mensaje de registro con la coincidencia de patrones grok.

Cambios

2023-06-14

Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.