Coletar registros do AWS Session Manager

Compatível com:

Este documento explica como transferir os registros do AWS Session Manager para o Google Security Operations. O AWS Session Manager oferece acesso seguro e auditável a instâncias do Amazon EC2 e servidores locais. Ao integrar os registros ao Google SecOps, você pode melhorar sua postura de segurança e rastrear eventos de acesso remoto.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à AWS.

Configurar o AWS IAM e o S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para uso futuro.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o Usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso futuro.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar o AWS Session Manager para salvar registros no S3

  1. Acesse o console do AWS Systems Manager.
  2. No painel de navegação, selecione Gerenciador de sessões.
  3. Clique na guia Preferências.
  4. Clique em Editar.
  5. Em Geração de registros do S3, marque a caixa de seleção Ativar.
  6. Desmarque a caixa de seleção Permitir apenas buckets S3 criptografados.
  7. Selecione um bucket do Amazon S3 que já foi criado na sua conta para armazenar os dados do registro de sessão.
  8. Insira o nome de um bucket do Amazon S3 que já foi criado na sua conta para armazenar dados de registro de sessão.
  9. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do AWS Session Manager

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, AWS Session Manager Logs).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione AWS Session Manager como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do bucket.
    • O URI é: selecione Diretório ou Diretório que inclui subdiretórios.

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
--cid metadata.description Parte do campo de descrição quando presente no registro
--collector.filesystem.ignored-mount-points metadata.description Parte do campo de descrição quando presente no registro
--collector.vmstat.fields metadata.description Parte do campo de descrição quando presente no registro
--message-log metadata.description Parte do campo de descrição quando presente no registro
--name metadata.description Parte do campo de descrição quando presente no registro
--net metadata.description Parte do campo de descrição quando presente no registro
--path.procfs metadata.description Parte do campo de descrição quando presente no registro
--path.rootfs metadata.description Parte do campo de descrição quando presente no registro
--path.sysfs metadata.description Parte do campo de descrição quando presente no registro
-v /:/rootfs:ro metadata.description Parte do campo de descrição quando presente no registro
-v /proc:/host/proc metadata.description Parte do campo de descrição quando presente no registro
-v /sys:/host/sys metadata.description Parte do campo de descrição quando presente no registro
CID metadata.description Parte do campo de descrição quando presente no registro
ERROR security_result.severity Extraídos da mensagem de registro usando a correspondência de padrões grok.
falconctl metadata.description Parte do campo de descrição quando presente no registro
ip-1-2-4-2 principal.ip Extraídos da mensagem de registro usando a correspondência de padrões grok e convertidos em um formato de endereço IP padrão.
ip-1-2-8-6 principal.ip Extraídos da mensagem de registro usando a correspondência de padrões grok e convertidos em um formato de endereço IP padrão.
java target.process.command_line Extraídos da mensagem de registro usando a correspondência de padrões grok.
Jun13 metadata.event_timestamp.seconds Parte do campo do carimbo de data/hora quando presente no registro, combinado com os campos "month_date" e "time_stamp".
[kworker/u16:8-kverityd] target.process.command_line Extraídos da mensagem de registro usando a correspondência de padrões grok.
root principal.user.userid Extraídos da mensagem de registro usando a correspondência de padrões grok.
metadata.event_type Determinado com base na presença e nos valores de outros campos:
: "STATUS_UPDATE" se src_ip estiver presente.
: "NETWORK_CONNECTION" se src_ip e dest_ip estiverem presentes.
: "USER_UNCATEGORIZED" se user_id estiver presente.
: "GENERIC_EVENT", caso contrário.
metadata.log_type Defina como "AWS_SESSION_MANAGER".
metadata.product_name Defina como "AWS Session Manager".
metadata.vendor_name Defina como "Amazon".
target.process.pid Extraídos da mensagem de registro usando a correspondência de padrões grok.

Alterações

2023-06-14

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.