Este documento explica como carregar registos do AWS Session Manager para o Google Security Operations. O AWS Session Manager oferece acesso seguro e auditável a instâncias do Amazon EC2 e servidores no local. Ao integrar os respetivos registos no Google SecOps, pode melhorar a sua postura de segurança e acompanhar os eventos de acesso remoto.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
Instância do Google SecOps
Acesso privilegiado ao AWS
Configure o AWS IAM e o S3
Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
Guarde o Nome e a Região do contentor para utilização posterior.
No painel de navegação, selecione Gestor de sessões.
Clique no separador Preferências.
Clique em Edit.
Em Registo do S3, selecione a caixa de verificação Ativar.
Desmarque a caixa de verificação Permitir apenas contentores S3 encriptados.
Selecione um contentor do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de registo de sessões.
Introduza o nome de um contentor do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de registo de sessões.
Clique em Guardar.
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
Definições do SIEM > Feeds > Adicionar novo
Content Hub > Pacotes de conteúdo > Começar
Como configurar o feed do AWS Session Manager
Clique no pacote Amazon Cloud Platform.
Localize o tipo de registo AWS Session Manager.
Especifique os valores nos seguintes campos.
Tipo de origem: Amazon SQS V2
Nome da fila: o nome da fila SQS a partir da qual ler
URI do S3: o URI do contentor.
s3://your-log-bucket-name/
Substitua your-log-bucket-name pelo nome real do seu contentor do S3.
Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.
Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.
Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.
Opções avançadas
Nome do feed: um valor pré-preenchido que identifica o feed.
Espaço de nomes do recurso: espaço de nomes associado ao feed.
Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Tabela de mapeamento da UDM
Campo de registo
Mapeamento de UDM
Lógica
--cid
metadata.description
Parte do campo de descrição quando presente no registo
--collector.filesystem.ignored-mount-points
metadata.description
Parte do campo de descrição quando presente no registo
--collector.vmstat.fields
metadata.description
Parte do campo de descrição quando presente no registo
--message-log
metadata.description
Parte do campo de descrição quando presente no registo
--name
metadata.description
Parte do campo de descrição quando presente no registo
--net
metadata.description
Parte do campo de descrição quando presente no registo
--path.procfs
metadata.description
Parte do campo de descrição quando presente no registo
--path.rootfs
metadata.description
Parte do campo de descrição quando presente no registo
--path.sysfs
metadata.description
Parte do campo de descrição quando presente no registo
-v /:/rootfs:ro
metadata.description
Parte do campo de descrição quando presente no registo
-v /proc:/host/proc
metadata.description
Parte do campo de descrição quando presente no registo
-v /sys:/host/sys
metadata.description
Parte do campo de descrição quando presente no registo
CID
metadata.description
Parte do campo de descrição quando presente no registo
ERROR
security_result.severity
Extraído da mensagem de registo através da correspondência de padrões grok.
falconctl
metadata.description
Parte do campo de descrição quando presente no registo
ip-1-2-4-2
principal.ip
Extraído da mensagem de registo através da correspondência de padrões grok e convertido num formato de endereço IP padrão.
ip-1-2-8-6
principal.ip
Extraído da mensagem de registo através da correspondência de padrões grok e convertido num formato de endereço IP padrão.
java
target.process.command_line
Extraído da mensagem de registo através da correspondência de padrões grok.
Jun13
metadata.event_timestamp.seconds
Parte do campo de indicação de tempo quando presente no registo, combinado com os campos month_date e time_stamp.
[kworker/u16:8-kverityd]
target.process.command_line
Extraído da mensagem de registo através da correspondência de padrões grok.
root
principal.user.userid
Extraído da mensagem de registo através da correspondência de padrões grok.
metadata.event_type
Determinado com base na presença e nos valores de outros campos: – "STATUS_UPDATE" se src_ip estiver presente. - "NETWORK_CONNECTION" se src_ip e dest_ip estiverem presentes. - "USER_UNCATEGORIZED" se user_id estiver presente. - "GENERIC_EVENT" caso contrário.
metadata.log_type
Definido como "AWS_SESSION_MANAGER".
metadata.product_name
Definido como "AWS Session Manager".
metadata.vendor_name
Definido como "Amazon".
target.process.pid
Extraído da mensagem de registo através da correspondência de padrões grok.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-20 UTC."],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
