이 문서에서는 AWS Session Manager 로그를 Google Security Operations에 수집하는 방법을 설명합니다. AWS Session Manager는 Amazon EC2 인스턴스 및 온프레미스 서버에 대한 안전하고 감사 가능한 액세스를 제공합니다. 로그를 Google SecOps에 통합하면 보안 상태를 개선하고 원격 액세스 이벤트를 추적할 수 있습니다.
세션 로그 데이터를 저장하기 위해 계정에 이미 생성된 Amazon S3 버킷의 이름을 입력합니다.
저장을 클릭합니다.
피드 설정
Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.
SIEM 설정 > 피드 > 새로 추가
콘텐츠 허브 > 콘텐츠 팩 > 시작하기
AWS Session Manager 피드를 설정하는 방법
Amazon Cloud Platform 팩을 클릭합니다.
AWS Session Manager 로그 유형을 찾습니다.
다음 필드에 값을 지정합니다.
소스 유형: Amazon SQS V2
Queue Name: 읽어올 SQS 큐 이름
S3 URI: 버킷 URI입니다.
s3://your-log-bucket-name/
your-log-bucket-name을 실제 S3 버킷 이름으로 바꿉니다.
소스 삭제 옵션: 수집 환경설정에 따라 삭제 옵션을 선택합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
SQS 대기열 액세스 키 ID: 20자리 영숫자 문자열인 계정 액세스 키입니다.
SQS 대기열 보안 비밀 액세스 키: 40자로 된 영숫자 문자열인 계정 액세스 키입니다.
고급 옵션
피드 이름: 피드를 식별하는 미리 채워진 값입니다.
애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.
이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.
UDM 매핑 테이블
로그 필드
UDM 매핑
논리
--cid
metadata.description
로그에 있는 경우 설명 필드의 일부
--collector.filesystem.ignored-mount-points
metadata.description
로그에 있는 경우 설명 필드의 일부
--collector.vmstat.fields
metadata.description
로그에 있는 경우 설명 필드의 일부
--message-log
metadata.description
로그에 있는 경우 설명 필드의 일부
--name
metadata.description
로그에 있는 경우 설명 필드의 일부
--net
metadata.description
로그에 있는 경우 설명 필드의 일부
--path.procfs
metadata.description
로그에 있는 경우 설명 필드의 일부
--path.rootfs
metadata.description
로그에 있는 경우 설명 필드의 일부
--path.sysfs
metadata.description
로그에 있는 경우 설명 필드의 일부
-v /:/rootfs:ro
metadata.description
로그에 있는 경우 설명 필드의 일부
-v /proc:/host/proc
metadata.description
로그에 있는 경우 설명 필드의 일부
-v /sys:/host/sys
metadata.description
로그에 있는 경우 설명 필드의 일부
CID
metadata.description
로그에 있는 경우 설명 필드의 일부
ERROR
security_result.severity
grok 패턴 일치를 사용하여 로그 메시지에서 추출됩니다.
falconctl
metadata.description
로그에 있는 경우 설명 필드의 일부
ip-1-2-4-2
principal.ip
grok 패턴 일치를 사용하여 로그 메시지에서 추출하고 표준 IP 주소 형식으로 변환했습니다.
ip-1-2-8-6
principal.ip
grok 패턴 일치를 사용하여 로그 메시지에서 추출하고 표준 IP 주소 형식으로 변환했습니다.
java
target.process.command_line
grok 패턴 일치를 사용하여 로그 메시지에서 추출됩니다.
Jun13
metadata.event_timestamp.seconds
로그에 있는 경우 타임스탬프 필드의 일부로, month_date 및 time_stamp 필드와 결합됩니다.
[kworker/u16:8-kverityd]
target.process.command_line
grok 패턴 일치를 사용하여 로그 메시지에서 추출됩니다.
root
principal.user.userid
grok 패턴 일치를 사용하여 로그 메시지에서 추출됩니다.
metadata.event_type
다른 필드의 존재 여부와 값에 따라 결정됩니다. - src_ip가 있는 경우 'STATUS_UPDATE' - src_ip와 dest_ip가 모두 있는 경우 'NETWORK_CONNECTION' - user_id가 있는 경우 'USER_UNCATEGORIZED' - 그 외의 경우 'GENERIC_EVENT'
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]