Collecter les journaux AWS Session Manager

Compatible avec:

Ce document explique comment ingérer les journaux AWS Session Manager dans Google Security Operations. AWS Session Manager fournit un accès sécurisé et auditable aux instances Amazon EC2 et aux serveurs sur site. En intégrant ses journaux à Google SecOps, vous pouvez améliorer votre posture de sécurité et suivre les événements d'accès à distance.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS.

Configurer AWS IAM et S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant le guide de l'utilisateur Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif: ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Download CSV file (Télécharger le fichier CSV) pour enregistrer la clé d'accès et la clé d'accès secrète pour les utiliser ultérieurement.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer AWS Session Manager pour enregistrer les journaux dans S3

  1. Accédez à la console AWS Systems Manager.
  2. Dans le volet de navigation, sélectionnez Gestionnaire de sessions.
  3. Cliquez sur l'onglet Préférences.
  4. Cliquez sur Modifier.
  5. Sous "Journalisation S3", cochez la case Activer.
  6. Décochez la case Allow only encrypted S3 buckets (Autoriser uniquement les buckets S3 chiffrés).
  7. Sélectionnez un bucket Amazon S3 déjà créé dans votre compte pour stocker les données de journal de session.
  8. Saisissez le nom d'un bucket Amazon S3 déjà créé dans votre compte pour stocker les données de journal de session.
  9. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux AWS Session Manager

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux AWS Session Manager).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez AWS Session Manager comme type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3: URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel du bucket.
    • Un URI est: sélectionnez Répertoire ou Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.

    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
--cid metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--collector.filesystem.ignored-mount-points metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--collector.vmstat.fields metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--message-log metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--name metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--net metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.procfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.rootfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.sysfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /:/rootfs:ro metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /proc:/host/proc metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /sys:/host/sys metadata.description Partie du champ de description lorsqu'il est présent dans le journal
CID metadata.description Partie du champ de description lorsqu'il est présent dans le journal
ERROR security_result.severity Extrait du message de journal à l'aide de la correspondance de modèles grok.
falconctl metadata.description Partie du champ de description lorsqu'il est présent dans le journal
ip-1-2-4-2 principal.ip Extrait du message de journal à l'aide de la mise en correspondance de modèles grok et converti au format d'adresse IP standard.
ip-1-2-8-6 principal.ip Extrait du message de journal à l'aide de la mise en correspondance de modèles grok et converti au format d'adresse IP standard.
java target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèles grok.
Jun13 metadata.event_timestamp.seconds Partie du champ "code temporel" lorsqu'il est présent dans le journal, combinée aux champs "date_mois" et "code_temporel".
[kworker/u16:8-kverityd] target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèles grok.
root principal.user.userid Extrait du message de journal à l'aide de la correspondance de modèles grok.
metadata.event_type Déterminé en fonction de la présence et des valeurs d'autres champs :
 : "STATUS_UPDATE" si l'adresse IP source est présente.
 : "NETWORK_CONNECTION" si les valeurs src_ip et dest_ip sont présentes.
 : "USER_UNCATEGORIZED" si user_id est présent.
 : "GENERIC_EVENT", sinon.
metadata.log_type Défini sur "AWS_SESSION_MANAGER".
metadata.product_name Définissez-le sur "AWS Session Manager".
metadata.vendor_name Défini sur "Amazon".
target.process.pid Extrait du message de journal à l'aide de la correspondance de modèles grok.

Modifications

2023-06-14

  • Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.