AWS Session Manager-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS Session Manager-Protokolle in Google Security Operations aufnehmen. AWS Session Manager bietet sicheren und auditierbaren Zugriff auf Amazon EC2-Instanzen und lokale Server. Wenn Sie die Logs in Google SecOps einbinden, können Sie Ihren Sicherheitsstatus verbessern und Remotezugriffsereignisse verfolgen.

Vorbereitung

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für AWS.

AWS IAM und S3 konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets für später.
  3. Erstellen Sie einen Nutzer gemäß der Anleitung IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Zugriffsschlüssel und den Secret Access Key zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

AWS Session Manager zum Speichern von Protokollen in S3 konfigurieren

  1. Rufen Sie die AWS Systems Manager-Konsole auf.
  2. Wählen Sie im Navigationsbereich Session Manager aus.
  3. Klicken Sie auf den Tab Einstellungen.
  4. Klicken Sie auf Bearbeiten.
  5. Klicken Sie unter „S3-Logging“ auf das Kästchen Aktivieren.
  6. Entfernen Sie das Häkchen aus dem Kästchen Nur verschlüsselte S3-Buckets zulassen.
  7. Wählen Sie einen Amazon S3-Bucket aus, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
  8. Geben Sie den Namen eines Amazon S3-Buckets ein, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
  9. Klicken Sie auf Speichern.

Feed in Google SecOps für die Aufnahme von AWS Session Manager-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS Session Manager Logs.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie AWS Session Manager als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.

    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
--cid metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--collector.filesystem.ignored-mount-points metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--collector.vmstat.fields metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--message-log metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--name metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--net metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--path.procfs metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--path.rootfs metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
--path.sysfs metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
-v /:/rootfs:ro metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
-v /proc:/host/proc metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
-v /sys:/host/sys metadata.description Teil des Beschreibungsfelds, sofern im Protokoll vorhanden
CID metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
ERROR security_result.severity Mit dem Grok-Musterabgleich aus der Protokollmeldung extrahiert.
falconctl metadata.description Teil des Beschreibungsfelds, sofern im Log vorhanden
ip-1-2-4-2 principal.ip Wurde mithilfe von Grok-Musterabgleich aus der Protokollnachricht extrahiert und in ein Standard-IP-Adressformat umgewandelt.
ip-1-2-8-6 principal.ip Wurde mithilfe von Grok-Musterabgleich aus der Protokollnachricht extrahiert und in ein Standard-IP-Adressformat umgewandelt.
java target.process.command_line Mit dem Grok-Musterabgleich aus der Protokollmeldung extrahiert.
Jun13 metadata.event_timestamp.seconds Teil des Zeitstempelfelds, wenn es im Protokoll vorhanden ist, kombiniert mit den Feldern „month_date“ und „time_stamp“.
[kworker/u16:8-kverityd] target.process.command_line Mit dem Grok-Musterabgleich aus der Protokollmeldung extrahiert.
root principal.user.userid Mit dem Grok-Musterabgleich aus der Protokollmeldung extrahiert.
metadata.event_type Wird anhand der Präsenz und der Werte anderer Felder bestimmt:
 – „STATUS_UPDATE“, wenn „src_ip“ vorhanden ist.
 – „NETWORK_CONNECTION“, wenn sowohl src_ip als auch dest_ip vorhanden sind.
 – „USER_UNCATEGORIZED“, wenn „user_id“ vorhanden ist.
 – andernfalls „GENERIC_EVENT“.
metadata.log_type Legen Sie diesen Wert auf „AWS_SESSION_MANAGER“ fest.
metadata.product_name Legen Sie „AWS Session Manager“ fest.
metadata.vendor_name Legen Sie diesen Wert auf „Amazon“ fest.
target.process.pid Mit dem Grok-Musterabgleich aus der Protokollmeldung extrahiert.

Änderungen

2023-06-14

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten