收集 AWS Session Manager 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何将 AWS Session Manager 日志提取到 Google Security Operations。AWS Session Manager 可提供对 Amazon EC2 实例和本地服务器的安全且可审核的访问权限。通过将其日志集成到 Google SecOps,您可以增强安全状况并跟踪远程访问事件。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 AWS 的特权访问权限。
配置 AWS IAM 和 S3
- 按照以下用户指南创建 Amazon S3 存储分区:创建存储分区
- 保存存储分区的名称和区域,以备日后使用。
- 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 点击访问密钥部分中的创建访问密钥。
- 选择第三方服务作为用例。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击下载 CSV 文件,保存访问密钥和密钥以供日后使用。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策。
- 搜索并选择 AmazonS3FullAccess 政策。
- 点击下一步。
- 点击添加权限。
配置 AWS Session Manager 以将日志保存在 S3 中
- 前往 AWS Systems Manager 控制台。
- 在导航窗格中,选择 Session Manager。
- 点击偏好设置标签页。
- 点击修改。
- 在“S3 日志记录”下,选中启用复选框。
- 取消选中 Allow only encrypted S3 buckets(仅允许加密的 S3 存储分区)复选框。
- 选择您在账号中已创建的 Amazon S3 存储分区,以存储会话日志数据。
- 输入您在账号中已创建的用于存储会话日志数据的 Amazon S3 存储分区的名称。
- 点击保存。
在 Google SecOps 中配置 Feed 以提取 AWS Session Manager 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 AWS Session Manager 日志)。
- 选择 Amazon S3 作为来源类型。
- 选择 AWS Session Manager 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- 区域:Amazon S3 存储分区所在的区域。
- S3 URI:存储分区 URI。
s3://your-log-bucket-name/- 将
your-log-bucket-name替换为存储分区的实际名称。
- 将
- URI 是:选择目录或包含子目录的目录。
来源删除选项:根据您的偏好选择删除选项。
访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
私有访问密钥:有权访问 S3 存储分区的用户私有密钥。
资源命名空间:资源命名空间。
提取标签:要应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
--cid |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--collector.filesystem.ignored-mount-points |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--collector.vmstat.fields |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--message-log |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--name |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--net |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--path.procfs |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--path.rootfs |
metadata.description | 说明字段的一部分(如果存在于日志中) |
--path.sysfs |
metadata.description | 说明字段的一部分(如果存在于日志中) |
-v /:/rootfs:ro |
metadata.description | 说明字段的一部分(如果存在于日志中) |
-v /proc:/host/proc |
metadata.description | 说明字段的一部分(如果存在于日志中) |
-v /sys:/host/sys |
metadata.description | 说明字段的一部分(如果存在于日志中) |
CID |
metadata.description | 说明字段的一部分(如果存在于日志中) |
ERROR |
security_result.severity | 使用 Grok 模式匹配从日志消息中提取。 |
falconctl |
metadata.description | 说明字段的一部分(如果存在于日志中) |
ip-1-2-4-2 |
principal.ip | 使用 grok 模式匹配从日志消息中提取,并转换为标准 IP 地址格式。 |
ip-1-2-8-6 |
principal.ip | 使用 grok 模式匹配从日志消息中提取,并转换为标准 IP 地址格式。 |
java |
target.process.command_line | 使用 Grok 模式匹配从日志消息中提取。 |
Jun13 |
metadata.event_timestamp.seconds | 时间戳字段的一部分(如果存在于日志中),与 month_date 和 time_stamp 字段组合使用。 |
[kworker/u16:8-kverityd] |
target.process.command_line | 使用 grok 模式匹配从日志消息中提取。 |
root |
principal.user.userid | 使用 Grok 模式匹配从日志消息中提取。 |
| metadata.event_type | 根据其他字段的存在性和值确定: - 如果存在 src_ip,则为“STATUS_UPDATE”。 - 如果同时存在 src_ip 和 dest_ip,则为“NETWORK_CONNECTION”。 - 如果存在 user_id,则为“USER_UNCATEGORIZED”。 - 否则为“GENERIC_EVENT”。 |
|
| metadata.log_type | 设置为“AWS_SESSION_MANAGER”。 | |
| metadata.product_name | 设置为“AWS Session Manager”。 | |
| metadata.vendor_name | 设置为“Amazon”。 | |
| target.process.pid | 使用 Grok 模式匹配从日志消息中提取。 |
变化
2023-06-14
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。