En este documento, se explica cómo transferir registros de AWS Session Manager a Google Security Operations. AWS Session Manager proporciona acceso seguro y auditable a las instancias de Amazon EC2 y a los servidores locales. Cuando integras sus registros en Google SecOps, puedes mejorar tu posición de seguridad y hacer un seguimiento de los eventos de acceso remoto.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
Instancia de Google SecOps
Acceso privilegiado a AWS
Configura IAM y S3 de AWS
Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
Guarda el Nombre y la Región del bucket para usarlos más adelante.
En el panel de navegación, selecciona Session Manager.
Haz clic en la pestaña Preferencias.
Haz clic en Editar.
En Registro de S3, selecciona la casilla de verificación Habilitar.
Anula la selección de la casilla de verificación Permitir solo buckets de S3 encriptados.
Selecciona un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos del registro de sesiones.
Ingresa el nombre de un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de la sesión.
Haz clic en Guardar.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
Configuración del SIEM > Feeds > Agregar nuevo
Centro de contenido > Paquetes de contenido > Comenzar
Cómo configurar el feed de AWS Session Manager
Haz clic en el paquete Amazon Cloud Platform.
Ubica el tipo de registro AWS Session Manager.
Especifica los valores en los siguientes campos.
Tipo de fuente: Amazon SQS V2
Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/
Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
Nombre del feed: Es un valor completado previamente que identifica el feed.
Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.
Tabla de asignación de UDM
Campo de registro
Asignación de UDM
Lógica
--cid
metadata.description
Parte del campo de descripción cuando está presente en el registro
--collector.filesystem.ignored-mount-points
metadata.description
Parte del campo de descripción cuando está presente en el registro
--collector.vmstat.fields
metadata.description
Parte del campo de descripción cuando está presente en el registro
--message-log
metadata.description
Parte del campo de descripción cuando está presente en el registro
--name
metadata.description
Parte del campo de descripción cuando está presente en el registro
--net
metadata.description
Parte del campo de descripción cuando está presente en el registro
--path.procfs
metadata.description
Parte del campo de descripción cuando está presente en el registro
--path.rootfs
metadata.description
Parte del campo de descripción cuando está presente en el registro
--path.sysfs
metadata.description
Parte del campo de descripción cuando está presente en el registro
-v /:/rootfs:ro
metadata.description
Parte del campo de descripción cuando está presente en el registro
-v /proc:/host/proc
metadata.description
Parte del campo de descripción cuando está presente en el registro
-v /sys:/host/sys
metadata.description
Parte del campo de descripción cuando está presente en el registro
CID
metadata.description
Parte del campo de descripción cuando está presente en el registro
ERROR
security_result.severity
Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
falconctl
metadata.description
Parte del campo de descripción cuando está presente en el registro
ip-1-2-4-2
principal.ip
Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
ip-1-2-8-6
principal.ip
Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
java
target.process.command_line
Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
Jun13
metadata.event_timestamp.seconds
Es parte del campo de marca de tiempo cuando está presente en el registro, combinado con los campos month_date y time_stamp.
[kworker/u16:8-kverityd]
target.process.command_line
Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
root
principal.user.userid
Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
metadata.event_type
Se determina según la presencia y los valores de otros campos: - "STATUS_UPDATE" si src_ip está presente. : "NETWORK_CONNECTION" si están presentes src_ip y dest_ip. : "USER_UNCATEGORIZED" si está presente user_id : "GENERIC_EVENT" en otros casos.
metadata.log_type
Se debe establecer en "AWS_SESSION_MANAGER".
metadata.product_name
Se debe establecer en "AWS Session Manager".
metadata.vendor_name
Se debe establecer en "Amazon".
target.process.pid
Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
