Ce document explique comment ingérer les journaux AWS Session Manager dans Google Security Operations. AWS Session Manager permet d'accéder de manière sécurisée et auditable aux instances Amazon EC2 et aux serveurs sur site. En intégrant ses journaux à Google SecOps, vous pouvez améliorer votre posture de sécurité et suivre les événements d'accès à distance.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
Instance Google SecOps
Accès privilégié à AWS
Configurer AWS IAM et S3
Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
Dans le volet de navigation, sélectionnez Gestionnaire de sessions.
Cliquez sur l'onglet Préférences.
Cliquez sur Modifier.
Sous "Journalisation S3", cochez la case Activer.
Décochez la case Autoriser uniquement les buckets S3 chiffrés.
Sélectionnez un bucket Amazon S3 déjà créé dans votre compte pour stocker les données du journal de session.
Saisissez le nom d'un bucket Amazon S3 déjà créé dans votre compte pour stocker les données du journal de session.
Cliquez sur Enregistrer.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
Paramètres SIEM> Flux > Ajouter
Plate-forme de contenu> Packs de contenu> Premiers pas
Configurer le flux AWS Session Manager
Cliquez sur le pack Amazon Cloud Platform.
Recherchez le type de journal AWS Session Manager.
Spécifiez les valeurs des champs suivants.
Type de source : Amazon SQS V2
Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données
URI S3 : URI du bucket.
s3://your-log-bucket-name/
Remplacez your-log-bucket-name par le nom réel de votre bucket S3.
Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.
Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
ID de clé d'accès à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères.
Clé d'accès secrète à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères.
Options avancées
Nom du flux : valeur préremplie qui identifie le flux.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Cliquez sur Créer un flux.
Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.
Table de mappage UDM
Champ de journal
Mappage UDM
Logique
--cid
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--collector.filesystem.ignored-mount-points
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--collector.vmstat.fields
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--message-log
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--name
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--net
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--path.procfs
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--path.rootfs
metadata.description
Partie du champ de description, le cas échéant, dans le journal
--path.sysfs
metadata.description
Partie du champ de description, le cas échéant, dans le journal
-v /:/rootfs:ro
metadata.description
Partie du champ de description, le cas échéant, dans le journal
-v /proc:/host/proc
metadata.description
Partie du champ de description, le cas échéant, dans le journal
-v /sys:/host/sys
metadata.description
Partie du champ de description, le cas échéant, dans le journal
CID
metadata.description
Partie du champ de description, le cas échéant, dans le journal
ERROR
security_result.severity
Extrait du message de journal à l'aide de la correspondance de modèles Grok.
falconctl
metadata.description
Partie du champ de description, le cas échéant, dans le journal
ip-1-2-4-2
principal.ip
Extrait du message de journal à l'aide de la correspondance de modèle Grok et converti au format d'adresse IP standard.
ip-1-2-8-6
principal.ip
Extrait du message de journal à l'aide de la correspondance de modèle Grok et converti au format d'adresse IP standard.
java
target.process.command_line
Extrait du message de journal à l'aide de la correspondance de modèles Grok.
Jun13
metadata.event_timestamp.seconds
Partie du champ d'horodatage lorsqu'il est présent dans le journal, combinée aux champs "month_date" et "time_stamp".
[kworker/u16:8-kverityd]
target.process.command_line
Extrait du message de journal à l'aide de la correspondance de modèles Grok.
root
principal.user.userid
Extrait du message de journal à l'aide de la correspondance de modèles Grok.
metadata.event_type
Déterminé en fonction de la présence et des valeurs d'autres champs : : "STATUS_UPDATE" si src_ip est présent. : "NETWORK_CONNECTION" si src_ip et dest_ip sont tous les deux présents. : "USER_UNCATEGORIZED" si user_id est présent. : "GENERIC_EVENT" dans le cas contraire.
metadata.log_type
Défini sur "AWS_SESSION_MANAGER".
metadata.product_name
Définissez la valeur sur "AWS Session Manager".
metadata.vendor_name
Défini sur "Amazon".
target.process.pid
Extrait du message de journal à l'aide de la correspondance de modèles Grok.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
