Mengumpulkan log AWS Session Manager

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Session Manager ke Google Security Operations. AWS Session Manager memberikan akses yang aman dan dapat diaudit ke instance Amazon EC2 dan server on-premise. Dengan mengintegrasikan lognya ke Google SecOps, Anda dapat meningkatkan postur keamanan dan melacak peristiwa akses jarak jauh.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi AWS Session Manager untuk Menyimpan Log di S3

  1. Buka konsol AWS Systems Manager.
  2. Di panel navigasi, pilih Session Manager.
  3. Klik tab Preferensi.
  4. Klik Edit.
  5. Di bagian logging S3, centang kotak Enable.
  6. Hapus centang pada kotak Hanya izinkan bucket S3 terenkripsi.
  7. Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  8. Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  9. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Session Manager

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, AWS Session Manager Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Session Manager sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
--cid metadata.description Bagian dari kolom deskripsi jika ada dalam log
--collector.filesystem.ignored-mount-points metadata.description Bagian dari kolom deskripsi jika ada dalam log
--collector.vmstat.fields metadata.description Bagian dari kolom deskripsi jika ada dalam log
--message-log metadata.description Bagian dari kolom deskripsi jika ada dalam log
--name metadata.description Bagian dari kolom deskripsi jika ada dalam log
--net metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.procfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.rootfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.sysfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /:/rootfs:ro metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /proc:/host/proc metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /sys:/host/sys metadata.description Bagian dari kolom deskripsi jika ada dalam log
CID metadata.description Bagian dari kolom deskripsi jika ada dalam log
ERROR security_result.severity Diekstrak dari pesan log menggunakan pencocokan pola grok.
falconctl metadata.description Bagian dari kolom deskripsi jika ada dalam log
ip-1-2-4-2 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
ip-1-2-8-6 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
java target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
Jun13 metadata.event_timestamp.seconds Bagian dari kolom stempel waktu jika ada dalam log, yang digabungkan dengan kolom month_date dan time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
root principal.user.userid Diekstrak dari pesan log menggunakan pencocokan pola grok.
metadata.event_type Ditentukan berdasarkan keberadaan dan nilai kolom lain:
- "STATUS_UPDATE" jika src_ip ada.
- "NETWORK_CONNECTION" jika src_ip dan dest_ip ada.
- "USER_UNCATEGORIZED" jika user_id ada.
- "GENERIC_EVENT" jika tidak.
metadata.log_type Tetapkan ke "AWS_SESSION_MANAGER".
metadata.product_name Tetapkan ke "AWS Session Manager".
metadata.vendor_name Tetapkan ke "Amazon".
target.process.pid Diekstrak dari pesan log menggunakan pencocokan pola grok.

Perubahan

2023-06-14

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.