Questo documento spiega come importare i log di AWS Session Manager in Google Security Operations. AWS Session Manager fornisce un accesso sicuro e controllabile alle istanze Amazon EC2 e ai server on-premise. Integrando i suoi log in Google SecOps, puoi migliorare la tua postura di sicurezza e monitorare gli eventi di accesso remoto.
Nel riquadro di navigazione, seleziona Session Manager.
Fai clic sulla scheda Preferenze.
Fai clic su Modifica.
In Registrazione S3, seleziona la casella di controllo Abilita.
Deseleziona la casella di controllo Consenti solo bucket S3 criptati.
Seleziona un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log di sessione.
Inserisci il nome di un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log di sessione.
Fai clic su Salva.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella
piattaforma Google SecOps:
Impostazioni SIEM > Feed > Aggiungi nuovo
Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed AWS Session Manager
Fai clic sul pacchetto Amazon Cloud Platform.
Individua il tipo di log AWS Session Manager.
Specifica i valori nei seguenti campi.
Tipo di origine: Amazon SQS V2
Nome coda: il nome della coda SQS da cui leggere
URI S3: l'URI del bucket.
s3://your-log-bucket-name/
Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
Nome feed: un valore precompilato che identifica il feed.
Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Tabella di mappatura UDM
Campo log
Mappatura UDM
Logic
--cid
metadata.description
Parte del campo della descrizione, se presente nel log
--collector.filesystem.ignored-mount-points
metadata.description
Parte del campo della descrizione, se presente nel log
--collector.vmstat.fields
metadata.description
Parte del campo della descrizione, se presente nel log
--message-log
metadata.description
Parte del campo della descrizione, se presente nel log
--name
metadata.description
Parte del campo della descrizione, se presente nel log
--net
metadata.description
Parte del campo della descrizione, se presente nel log
--path.procfs
metadata.description
Parte del campo della descrizione, se presente nel log
--path.rootfs
metadata.description
Parte del campo della descrizione, se presente nel log
--path.sysfs
metadata.description
Parte del campo della descrizione, se presente nel log
-v /:/rootfs:ro
metadata.description
Parte del campo della descrizione, se presente nel log
-v /proc:/host/proc
metadata.description
Parte del campo della descrizione, se presente nel log
-v /sys:/host/sys
metadata.description
Parte del campo della descrizione, se presente nel log
CID
metadata.description
Parte del campo della descrizione, se presente nel log
ERROR
security_result.severity
Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok.
falconctl
metadata.description
Parte del campo della descrizione, se presente nel log
ip-1-2-4-2
principal.ip
Estratto dal messaggio di log utilizzando la corrispondenza del pattern grok e convertito in un formato di indirizzo IP standard.
ip-1-2-8-6
principal.ip
Estratto dal messaggio di log utilizzando la corrispondenza del pattern grok e convertito in un formato di indirizzo IP standard.
java
target.process.command_line
Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok.
Jun13
metadata.event_timestamp.seconds
Parte del campo timestamp, se presente nel log, combinata con i campi month_date e time_stamp.
[kworker/u16:8-kverityd]
target.process.command_line
Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok.
root
principal.user.userid
Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok.
metadata.event_type
Determinato in base alla presenza e ai valori di altri campi: - "STATUS_UPDATE" se src_ip è presente. - "NETWORK_CONNECTION" se sono presenti sia src_ip che dest_ip. - "USER_UNCATEGORIZED" se è presente user_id. - "GENERIC_EVENT" altrimenti.
metadata.log_type
Imposta "AWS_SESSION_MANAGER".
metadata.product_name
Imposta "AWS Session Manager".
metadata.vendor_name
Imposta su "Amazon".
target.process.pid
Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
