Coletar registros do AWS GuardDuty

Este documento descreve como coletar logs do AWS GuardDuty configurando um feed de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência GUARDDUTY.

Antes de começar

• Crie um bucket do AWS S3. Para criar o bucket do AWS S3, consulte Criar seu primeiro bucket do S3.
• Verifique se uma chave do KMS foi criada. Para criar a chave do KMS, consulte Como criar chaves assimétricas do KMS.
• Verifique se o AWS GuardDuty tem permissão para acessar a chave do KMS. Para conceder acesso à chave do KMS, consulte Como exportar descobertas. O GuardDuty criptografa os dados de descobertas no seu bucket usando uma chave do AWS KMS.

Configurar o AWS GuardDuty

Para configurar o AWS GuardDuty, faça o seguinte:

1. Faça login no console da AWS.
2. Pesquise GuardDuty.
3. Selecione Configurações.

4. Na seção Encontrar a opção de exportação, faça o seguinte:

   1. Na lista Frequência de atualizações de resultados, selecione Atualizar CWE e S3 a cada 15 minutos. A seleção de frequência é para as descobertas atualizadas. As novas descobertas são exportadas após 5 minutos da criação.
   2. Na seção Bucket do S3, selecione o bucket do S3 em que você quer exportar as descobertas do GuardDuty.
   3. Na seção Prefixo do arquivo de registro, informe o prefixo do arquivo de registro.
   4. Na seção Criptografia do KMS, selecione a criptografia do KMS.
   5. Na lista Alias de chave, selecione a chave.
   6. Clique em Salvar.

5. Depois que os arquivos de registro forem armazenados no bucket do S3, crie uma fila do SQS e anexe-a ao bucket do S3.

Exemplo de política do KMS

Confira a seguir um exemplo de política do KMS:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Substitua:

• AWS_REGION: a região escolhida.
• KEY_ARN: nome de recurso da Amazon (ARN) da chave do KMS.

Verifique as políticas de chaves do IAM e do KMS necessárias para o S3, o SQS e o KMS.

Com base no serviço e na região, identifique os endpoints de conectividade consultando a seguinte documentação da AWS:

• Para informações sobre as origens de registro, consulte Endpoints e cotas do AWS Identity and Access Management.
• Para informações sobre as origens de registro do S3, consulte Endpoints e cotas do Amazon Simple Storage Service.
• Para informações sobre as origens de registro do SQS, consulte Endpoints e cotas do Amazon Simple Queue Service.

Configurar um feed no Google Security Operations para processar registros do AWS GuardDuty

1. Selecione Configurações do SIEM > Feeds.
2. Clique em Adicionar novo.
3. Insira um nome exclusivo para o nome do feed.
4. Selecione Amazon S3 ou Amazon SQS como o Tipo de origem.
5. Selecione AWS GuardDuty como o Tipo de registro.
6. Clique em Próxima e em Enviar.
7. O Google Security Operations oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.

8. Com base na configuração do AWS GuardDuty que você criou, especifique valores para os seguintes campos.

   1. Se estiver usando o Amazon S3
   • Região
   • URI do S3
   • O URI é um
   • Opção de exclusão da origem
   2. Se estiver usando o Amazon SQS
   • Região
   • Nome da fila
   • Número da conta
   • ID da chave de acesso da fila
   • Colocar a chave de acesso secreta na fila
   • Opção de exclusão da origem

9. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse código de analisador processa as descobertas do AWS GuardDuty no formato JSON, extraindo campos relevantes e mapeando-os para um modelo de dados unificado (UDM, na sigla em inglês). Ele realiza transformações de dados, incluindo substituições de string, mesclagem de matrizes e conversão de tipos de dados, para criar uma representação estruturada do ocorrência de segurança para análise e correlação.

Tabela de mapeamento da UDM

Alterações

2024-03-11

• "service.action.awsApiCallAction.domainDetails.domain" foi associado a "network.dns.questions.name".

2024-03-05

• "service.additionalInfo.value" foi associado a "security_result.about.labels".
• "service.additionalInfo.value" foi associado a "security_result.about.resource.attribute.labels".
• Mapeamos "service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail" para "principal.resource.attribute.labels".

2024-02-26

• Correção de bugs:
• "resource.eksClusterDetails.createdAt" foi mapeado para "target.resource.attribute.labels".
• "resource.s3BucketDetails.createdAt" foi associado a "principal.resource.attribute.labels".
• "resource.eksClusterDetails.tags" foi mapeado para "target.resource.attribute.labels".
• "resource.s3BucketDetails.tags" foi mapeado para "principal.resource.attribute.labels".
• Se "type" for semelhante a ":Kubernetes" ou ":S3", mapeie "resource.accessKeyDetails.accessKeyId" para "target.resource.product_object_id".
• Se "service.action.actionType" for semelhante a "AWS_API_CALL" ou "KUBERNETES_API_CALL", mapeie "resource.accessKeyDetails.accessKeyId" para "target.resource.product_object_id".
• Se "service.action.actionType" for semelhante a "DNS_REQUEST", mapeie "resource.instanceDetails.instanceId" para "target.resource.product_object_id".

2023-08-18

• Campos mapeados "security_result.attack_details.tactics", "security_result.attack_details.techniques" com base no campo "type".
• O "metadata.event_type" foi associado a tipos de evento mais específicos sempre que possível, em vez de GENERIC_EVENT.
• Campos mapeados "target.resource.resource_subtype" e "target.resource.resource_type" com base no campo "type".
• Para todos os registros com o valor "type" ':EC2':
• O recurso "resource.instanceDetails.instanceId" foi mapeado para "target.resource.product_object_id".
• Mapeou "resource.instanceDetails.instanceType" para "target.resource.attribute.labels".
• O mapeamento de "resource.instanceDetails.launchTime" para "target.resource.attribute.creation_time".
• Para todos os registros com o valor "type" ':RDSV':
• Mapeou "resource.rdsDbInstanceDetails.dbInstanceIdentifier" para "target.resource.product_object_id".
• O recurso "resource.rdsDbInstanceDetails.dbInstanceArn" foi associado a "target.resource.name".
• Mapeou "resource.rdsDbInstanceDetails.dbClusterIdentifier" para "target.resource_ancestors.product_object_id".
• Mapeou "resource.rdsDbUserDetails.user" para "principal.user.userid".
• Para todos os registros com o valor "type" ':Kubernetes':
• O recurso "resource.eksClusterDetails.arn" foi mapeado para "target.resource.name".
• Para todos os registros com o valor "type" ':Runtime':
• O recurso "resource.eksClusterDetails.arn" foi mapeado para "target.resource_ancestors.name".
• O recurso "resource.instanceDetails.instanceId" foi mapeado para "target.resource.product_object_id".
• Mapeou "resource.instanceDetails.instanceType" para "target.resource.attribute.labels".
• O mapeamento de "resource.instanceDetails.launchTime" para "target.resource.attribute.creation_time".
• Para todos os registros com o valor "type" ':IAMUser':
• Mapeou "resource.accessKeyDetails.accessKeyId" para "target.resource.product_object_id".
• O recurso "resource.instanceDetails.instanceId" foi mapeado para "target.resource_ancestors.product_object_id".
• Para todos os registros com o valor "type" ':S3':
• Mapeou "resource.s3BucketDetails.arn" ou "resource.s3BucketDetails.name" para "target.resource.name".

2023-08-02

• Se "resource.instanceDetails.networkInterfaces" estiver vazio, mapeie "metadata.event_type" para "GENERIC_EVENT".
• Se "detail.resource.accessKeyDetails.principalId" ou "resource.accessKeyDetails.principalId" estiverem vazios, mapeie "metadata.event_type" para "USER_RESOURCE_ACCESS".

2023-06-19

• "security_result.attack_details" foi adicionado com base em "type".

2023-02-07

• Melhoria:
• "threatdetails.threatListName" foi mapeado para "security_result.threat_feed_name".
• Mapeamos "service.additionalInfo.threatName" para "security_result.threat_name".
• Se "product_event_type" estiver em ["Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"], então "T1071" será mapeado para "technique_label.value".
• Se "product_event_type" estiver em ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"], então mapeie "T1078" para "technique_label.value".
• Se "product_event_type" for "Discovery:IAMUser/AnomalousBehavior", mapeie "T1087" para "technique_label.value".
• Se "product_event_type" for "Persistence:IAMUser/AnomalousBehavior", mapeie "T1098" para "technique_label.value".
• Se "product_event_type" estiver em ["UnauthorizedAccess:EC2/RDPBruteForce", "UnauthorizedAccess:EC2/SSHBruteForce"], mapeie "T1110" para "technique_label.value".
• Se "product_event_type" estiver em ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"], mapeie "T1133" para "technique_label.value".
• Se "product_event_type" for "Trojan:EC2/DriveBySourceTraffic!DNS", mapeie "T1189" para "technique_label.value".
• Se "product_event_type" for "PrivilegeEscalation:IAMUser/AnomalousBehavior", mapeie "T1484" para "technique_label.value".
• Se "product_event_type" em ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"] então mapeou "T1496" para "technique_label.value".
• Se "product_event_type" em ["Backdoor:EC2/DenialOfService.Dns", "Backdoor:EC2/DenialOfService.Tcp", "Backdoor:EC2/DenialOfService.Udp", "Backdoor:EC2/DenialOfService.UdpOnTcpPorts", "Backdoor:EC2/DenialOfService.UnusualProtocol"] mapeou "T1498" para "technique_label.value".
• Se "product_event_type" estiver em ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"], mapeie "T1526" para "technique_label.value".
• Se "product_event_type" for "UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B", mapeie "T1538" para "technique_label.value".
• Se "product_event_type" for "UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration", mapeie "T1552" para "technique_label.value".
• Se "product_event_type" for "CredentialAccess:IAMUser/AnomalousBehavior", mapeie "T1555" para "technique_label.value".
• Se "product_event_type" estiver em ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"], mapeie "T1562" para "technique_label.value".
• Se "product_event_type" em ["Impact:IAMUser/AnomalousBehavior", "Impact:S3/MaliciousIPCaller"] mapeia "T1565" para "technique_label.value".
• Se "product_event_type" for "Trojan:EC2/PhishingDomainRequest!DNS", mapeie "T1566" para "technique_label.value".
• Se "product_event_type" estiver em ["Exfiltration:IAMUser/AnomalousBehavior", "Exfiltration:S3/MaliciousIPCaller", "Exfiltration:S3/ObjectRead.Unusual", "Trojan:EC2/DNSDataExfiltration", "Trojan:EC2/DropPoint", "Trojan:EC2/DropPoint!DNS"], mapeie "T1567" para "technique_label.value".
• Se "product_event_type" estiver em ["Trojan:EC2/DGADomainRequest.C!DNS", "Trojan:EC2/DGADomainRequest.B"], mapeie "T1568" para "technique_label.value".
• Se "product_event_type" == "UnauthorizedAccess:EC2/MetadataDNSRebind", mapeie "T1580" para "technique_label.
• Se "product_event_type" em ["Recon:IAMUser/MaliciousIPCaller", "Recon:IAMUser/MaliciousIPCaller.Custom", "Recon:IAMUser/TorIPCaller"] mapeou "T1589" para "technique_label.value".
• Se "product_event_type" estiver em ["Recon:EC2/PortProbeEMRUnprotectedPort", "Recon:EC2/PortProbeUnprotectedPort", "Recon:EC2/Portscan"], mapeie "T1595" para "technique_label.value".
• Se [technique_label][value] estiver em ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"], mapeie "Reconnaissance" para "tatic_label.value".
• Se [technique_label][value] em ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"] mapeou "ResourceDevelopment" para "tatic_label.value".
• Se [technique_label][value] em ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"] mapeou "InitialAccess" para "tatic_label.value".
• Se [technique_label][value] estiver em ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"], mapeie "Execution" para "tatic_label.value".
• Se [technique_label][value] em ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"] então mapeie "Persistence" para "tatic_label.value".
• Se [technique_label][value] em ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"] mapeou "PrivilegeEscalation" para "tatic_label.value".
• Se [technique_label][value] em ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] e mapeie "DefenseEvasion" para "tatic_label.value".
• Se [technique_label][value] em ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"] mapeie "CredentialAccess" para "tatic_label.value".
• Se [technique_label][value] em ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"] e mapeie "Discovery" para "tatic_label.value".
• Se [technique_label][value] estiver em ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"], mapeie "LateralMovement" para "tatic_label.value".
• Se [technique_label][value] em ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"] mapeia "Collection" para "tatic_label.value".
• Se [technique_label][value] em ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"] mapeou "CommandAndControl" para "tatic_label.value".
• Se [technique_label][value] estiver em ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"], mapeie "Exfiltration" para "tatic_label.value".
• Se [technique_label][value] em ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"] mapeie "Impact" para "tatic_label.value".

2022-11-10

• Melhoria
• "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash" foi mapeado para "principal.file.sha256".
• Mapeou "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath" para "principal.file.full_path".
• "service.action.dnsRequestAction.domain" foi associado a "network.dns.questions.name".
• "resource.kubernetesDetails.kubernetesUserDetails.username" foi associado a "principal.user.userid".

2022-09-12

• Solicitação de recurso:
• Mapeamos "security_result.category", "metadata.event_type", "resource_type" e "resource_subtype" de forma adequada para os tipos de registro: "IAM", "S3", "KUBERNETES", "MALWARE", "EC2".

2022-08-11

• Solicitação de recurso:
• O tipo de evento 'GENERIC_EVENT' foi substituído por 'STATUS_UPDATE' ou 'USER_RESOURCE_ACCESS'.

2022-07-20

• O mapeamento de "service.resourceRole" mudou de "additional.resource_role" para "principal.resource.attribute.roles.name".
• O mapeamento de "service.count" mudou de "additional.fields" para "principal.resource.attribute.label".
• O mapeamento de "resource.instanceDetails.imageDescription" mudou de "additional.fields" para "principal.resource.attribute.label".
• Se o valor "type" estiver em "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• Mapeou "resource.instanceDetails.instanceId" para "target.resource.product_object_id"
• Mapeou "resource.instanceDetails.instanceType" para "target.resource.name"

2022-07-08

• O mapeamento de "network_interface.securityGroups.0.groupId" foi modificado de "target.user.groupid" para "target.user.group_identifiers".

2022-05-26

• Melhoria: mapeamentos modificados para os seguintes campos
• O mapeamento do campo "region" mudou de "target.location.country_or_region" para "target.location.name".
• O mapeamento do campo "resource.instanceDetails.tags[n]" mudou de "additional.fields[n]" para "target.asset.attribute.labels[n]".
• "service.action.networkConnectionAction.remoteIpDetails.country.countryName" mapeado para "target.location.country_or_region"

2022-05-27

• Melhoria: o valor armazenado em metadata.product_name foi modificado para "AWS GuardDuty" e metadata.vendor_name para "AMAZON".

2022-03-25

• Melhoria: o udm do porto não é um campo repetido. Isso torna inadequado capturar muitas portas de um registro. Essa mudança usa about.port.

2022-03-31

• Melhoria
• Se service.action.networkConnectionAction.localPortDetails.portName não for o valor "Desconhecido" mapeado para principal.application.
• Lista inteira no campo "tags" mapeado para campos de chave-valor.
• "service.action.networkConnectionAction.protocol" mapeado para network.ip_protocol
• "service.action.networkConnectionAction.blocked" mapeado para security_result.action
• "severity" associado a security_result.severity_details
• Se service.action.actionType for AWS_API_CALL, "accessKeyId" será associado a target.resource.id.
• Em s3BucketDetails:
• "arn" mapeado para target.asset.attribute.cloud.project.product_object_id.
• "name" mapeado para target.resource.name.
• "encryptionType" mapeado para network.tls.supported_ciphers.
• "owner.id mapeado para target.resource.attribute.labels.
• Em resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList:
• Mapeamos "allowsPublicReadAccess" para o atributo additional.fields.
• Mapeou "allowsPublicWriteAccess" para o atributo additional.fields. - --
• Em resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy:
• Mapeamos "allowsPublicReadAccess" para o atributo additional.fields.
• Mapeou "allowsPublicWriteAccess" para o atributo additional.fields. - --
• Em resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess:
• Mapeamos "ignorePublicAcls" para o atributo additional.fields.
• Mapeamos "restrictPublicBuckets" para o atributo additional.fields.
• Mapeou "blockPublicAcls" para o atributo additional.fields.
• Mapeamos "blockPublicPolicy" para o atributo additional.fields. - --
• Em resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• Mapeamos ignorePublicAcls para o atributo additional.fields.
• "restrictPublicBuckets" para o atributo additional.fields.
• "blockPublicAcls" para o atributo additional.fields.
• "blockPublicPolicy" para o atributo additional.fields.
• Em service.action.awsApiCallAction.remoteIpDetails.organization:
• "asn" mapeado para o atributo additional.fields.
• "asnOrg" mapeado para o atributo additional.fields.
• "isp" mapeado para o atributo additional.fields.
• "org" mapeado para o atributo additional.fields.
• Em service.action.awsApiCallAction.affectedResources, o atributo "AWS::S3::Bucket" foi mapeado para additional.fields.
• Se service.action.actionType for DNS_REQUEST, "accessKeyId" será associado a target.resource.id.
• resource.instanceDetails.instanceId mapeado para target.resource.id
• resource.instanceDetails.instanceType mapeado para target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId mapeado para target.asset.attribute.cloud.vpc.id
• Os valores em resource.instanceDetails.tags mapearam os seguintes campos:
• target.user.userid se a chave for "ApplicationOwner".
• target.application se a chave for "Application".
• user.email_addresses se a chave for "Contact".
• additional.fields se a chave for "Name", "DAM_Project", "Project" ou "ehc:C3Schedule".
• service.action.dnsRequestAction.protocol mapeado para network.ip_protocol se o valor não for 0.
• service.action.networkConnectionAction.blocked mapeado para security_result.action.
• "severity" mapeado para security_result.severity_details.