AWS Session Manager-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS Session Manager-Protokolle in Google Security Operations aufnehmen. AWS Session Manager bietet sicheren und prüfbaren Zugriff auf Amazon EC2-Instanzen und lokale Server. Durch die Integration der Protokolle in Google SecOps können Sie Ihren Sicherheitsstatus verbessern und Remotezugriffsereignisse verfolgen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS

AWS IAM und S3 konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

AWS Session Manager so konfigurieren, dass Logs in S3 gespeichert werden

  1. Rufen Sie die AWS Systems Manager-Konsole auf.
  2. Wählen Sie im Navigationsbereich Session Manager aus.
  3. Klicken Sie auf den Tab Einstellungen.
  4. Klicken Sie auf Bearbeiten.
  5. Wählen Sie unter „S3-Protokollierung“ das Kästchen Aktivieren aus.
  6. Deaktivieren Sie das Kästchen Nur verschlüsselte S3-Buckets zulassen.
  7. Wählen Sie einen Amazon S3-Bucket aus, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
  8. Geben Sie den Namen eines Amazon S3-Buckets ein, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
  9. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
  • Content Hub > Content-Packs > Erste Schritte

AWS Session Manager-Feed einrichten

  1. Klicken Sie auf das Paket Amazon Cloud Platform.
  2. Suchen Sie den Logtyp AWS Session Manager.

  3. Geben Sie die Werte in den folgenden Feldern an.

    • Quelltyp: Amazon SQS V2
    • Warteschlangenname: Der Name der SQS-Warteschlange, aus der gelesen werden soll.
    • S3-URI: Der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • SQS Queue Access Key ID (SQS-Warteschlangen-Zugriffsschlüssel-ID): Ein Konto-Zugriffsschlüssel, der ein 20-stelliger alphanumerischer String ist.

    • SQS Queue Secret Access Key (geheimer Zugriffsschlüssel für SQS-Warteschlange): Ein Konto-Zugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
    • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  4. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
--cid metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--collector.filesystem.ignored-mount-points metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--collector.vmstat.fields metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--message-log metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--name metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--net metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.procfs metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.rootfs metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.sysfs metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /:/rootfs:ro metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /proc:/host/proc metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /sys:/host/sys metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
CID metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
ERROR security_result.severity Aus der Log-Nachricht extrahiert, indem das Grok-Muster abgeglichen wurde.
falconctl metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
ip-1-2-4-2 principal.ip Aus der Logmeldung extrahiert, indem das Grok-Muster abgeglichen und in ein Standard-IP-Adressformat konvertiert wurde.
ip-1-2-8-6 principal.ip Aus der Logmeldung extrahiert, indem das Grok-Muster abgeglichen und in ein Standard-IP-Adressformat konvertiert wurde.
java target.process.command_line Aus der Log-Nachricht extrahiert, indem das Grok-Muster abgeglichen wurde.
Jun13 metadata.event_timestamp.seconds Teil des Zeitstempelfelds, wenn es im Log vorhanden ist, kombiniert mit den Feldern „month_date“ und „time_stamp“.
[kworker/u16:8-kverityd] target.process.command_line Aus der Log-Nachricht extrahiert, indem das Grok-Muster abgeglichen wurde.
root principal.user.userid Aus der Log-Nachricht extrahiert, indem das Grok-Muster abgeglichen wurde.
metadata.event_type Wird anhand des Vorhandenseins und der Werte anderer Felder bestimmt:
 – „STATUS_UPDATE“, wenn „src_ip“ vorhanden ist.
 – „NETWORK_CONNECTION“, wenn sowohl „src_ip“ als auch „dest_ip“ vorhanden sind.
: „USER_UNCATEGORIZED“, wenn user_id vorhanden ist.
 – andernfalls „GENERIC_EVENT“.
metadata.log_type Legen Sie diesen Wert auf „AWS_SESSION_MANAGER“ fest.
metadata.product_name Auf „AWS Session Manager“ festgelegt.
metadata.vendor_name Legen Sie diesen Wert auf „Amazon“ fest.
target.process.pid Aus der Log-Nachricht extrahiert, indem das Grok-Muster abgeglichen wurde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten