Se usó la API de Cloud Translation para traducir esta página.

Transfiere registros de AWS a las operaciones de seguridad de Google

En este documento, se detallan los pasos para configurar la transferencia de registros de AWS CloudTrail y datos de contexto a las operaciones de seguridad de Google. Estos pasos también se aplican a la transferencia de registros de otros servicios de AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch y AWS Security Hub.

Para transferir registros de eventos, la configuración dirige los registros de CloudTrail a un bucket de Amazon Simple Storage Service (Amazon S3), de manera opcional, mediante una cola de Amazon Simple Queue Service (Amazon SQS). Si se usa una cola de Amazon SQS, Google Security Operations lee las notificaciones de Amazon S3 que se envían a la cola de Amazon SQS y extrae los archivos correspondientes del bucket de Amazon S3. De hecho, esta es una versión basada en envíos de un feed de Amazon S3 y se puede usar para lograr una mejor capacidad de procesamiento.

En la primera parte de este documento, se proporcionan pasos concisos para usar Amazon S3 como el tipo de fuente del feed o, de manera opcional, Amazon S3 con Amazon SQS como el tipo de fuente. La segunda parte proporciona pasos más detallados con capturas de pantalla para usar Amazon S3 como tipo de fuente del feed. El uso de Amazon SQS no se trata en la segunda parte. La tercera parte proporciona información sobre cómo transferir datos del contexto de AWS sobre hosts, servicios, redes de VPC y usuarios.

Pasos básicos para transferir registros de S3 o S3 con SQS

En esta sección, se describen los pasos básicos para transferir los registros de AWS CloudTrail a tu instancia de operaciones de seguridad de Google. En los pasos se describe cómo hacerlo usando Amazon S3 como el tipo de fuente del feed o, opcionalmente, Amazon S3 con Amazon SQS como tipo de fuente.

Configura AWS CloudTrail y S3

En este procedimiento, configurarás los registros de AWS CloudTrail para que se escriban en un bucket de S3.

En la consola de AWS, busca CloudTrail.
Haz clic en Crear recorrido.
Proporciona un Nombre de sendero.
Selecciona Crear nuevo bucket de S3. También puedes optar por utilizar un bucket de S3 existente.
Proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS existente.
Puedes dejar el resto de la configuración con sus valores predeterminados y hacer clic en Siguiente.
Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.
Revisa los parámetros de configuración en Revisar y crear, y haz clic en Crear recorrido.
En la consola de AWS, busca Buckets de Amazon S3.
Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar el URI de S3 y guárdalo para usarlo en los siguientes pasos.

Crear una cola de SQS

De manera opcional, puedes usar una cola de SQS. Si usas una cola de SQS, debe ser una cola Estándar, no una cola FIFO.

Para obtener detalles sobre cómo crear colas de SQS, consulta Comienza a usar Amazon SQS.

Configura las notificaciones para la fila de SQS

Si usas una cola de SQS, configura las notificaciones en tu bucket de S3 para escribir en la cola de SQS. Asegúrate de adjuntar una política de acceso.

Configura el usuario de IAM de AWS

Configura un usuario de IAM de AWS que el equipo de operaciones de seguridad de Google usará para acceder a la cola de SQS (si se usa) y al bucket de S3.

En la consola de AWS, busca IAM.
Haz clic en Usuarios y,en la siguiente pantalla, haz clic en Agregar usuarios.
Proporciona un nombre para el usuario, p.ej., chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.
En el siguiente paso, selecciona Adjuntar las políticas existentes de forma directa y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usará AmazonS3FullAccess si el equipo de Operaciones de seguridad de Google debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de AWS en S3.
Como alternativa recomendada al paso anterior, puedes crear una política personalizada para restringir aún más el acceso solo al bucket de S3 especificado. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.
Cuando apliques una política, asegúrate de haber incluido sqs:DeleteMessage. Las operaciones de seguridad de Google no pueden borrar mensajes si el permiso sqs:DeleteMessage no está conectado a la cola de SQS. Todos los mensajes se acumulan en el lado de AWS, lo que provoca un retraso, ya que las operaciones de seguridad de Google intentan transferir los mismos archivos de forma reiterada.
Haz clic en Siguiente:Etiquetas.
Agrega las etiquetas si es necesario y haz clic en Next:Review.
Revisa la configuración y haz clic en Crear usuario.
Copia el ID de clave de acceso y la Clave de acceso secreta del usuario creado para usarlos en el siguiente paso.

Crea el feed

Después de completar los procedimientos anteriores, crea un feed para transferir los registros de AWS desde tu bucket de Amazon S3 a tu instancia de operaciones de seguridad de Google. Si también usas una cola de SQS, en el siguiente procedimiento, selecciona Amazon SQS como el tipo de fuente en lugar de Amazon S3.

Sigue estos pasos para crear un feed:

En la barra de navegación, selecciona Configuración, Configuración de SIEM y, luego, Feeds.
En la página Feeds, haz clic en Agregar nuevo.
En el diálogo Agregar feed, usa el diálogo Tipo de fuente para seleccionar Amazon S3 o Amazon SQS.
En el menú Tipo de registro, selecciona AWS CloudTrail (o algún otro servicio de AWS).
Haz clic en Siguiente.
Ingresa los parámetros de entrada para tu feed en los campos correspondientes.

Si el tipo de origen es Amazon S3:
1. Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste antes. Además, podrías agregar el URI de S3 con lo siguiente:
```
    {{datetime("yyyy/MM/dd")}}

    
```
  Como en el siguiente ejemplo, de modo que las operaciones de seguridad de Google analicen los registros solo para un día en particular:
```
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

    
```
2. En URI ES A, selecciona Directorios que incluyen subdirectorios. Selecciona una opción adecuada en Opción de eliminación de fuente. Este debería coincidir con los permisos de la cuenta de usuario de IAM que creaste anteriormente.
3. Proporciona el ID de clave de acceso y la Clave de acceso secreta de la cuenta de usuario de IAM que creaste anteriormente.
Haz clic en Siguiente (Next) y Finalizar (Finish).

Pasos detallados para transferir registros desde S3

Configurar AWS CloudTrail (o algún otro servicio)

Completa los siguientes pasos para configurar los registros de AWS CloudTrail y ordenarlos para que se escriban en el bucket de AWS S3 creado en el procedimiento anterior:

En la consola de AWS, busca CloudTrail.
Haz clic en Crear recorrido.
Proporciona un Nombre de sendero.
Selecciona Crear nuevo bucket de S3. También puedes optar por utilizar un bucket de S3 existente.
Proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS existente.
Puedes dejar el resto de la configuración con sus valores predeterminados y hacer clic en Siguiente.
Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.
Revisa los parámetros de configuración en Revisar y crear, y haz clic en Crear recorrido.
En la consola de AWS, busca Buckets de Amazon S3.
Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar el URI de S3 y guárdalo para usarlo en los siguientes pasos.

Configura el usuario de IAM de AWS

En este paso, configuraremos un usuario de IAM de AWS que el equipo de operaciones de seguridad de Google usará para obtener feeds de registros de AWS.

En la consola de AWS, busca IAM.
Haz clic en Usuarios y,en la siguiente pantalla, haz clic en Agregar usuarios.
Proporciona un nombre para el usuario, p.ej., chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.
En el siguiente paso, selecciona Adjuntar las políticas existentes de forma directa y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usaría AmazonS3FullAccess si el equipo de Operaciones de seguridad de Google debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de AWS en S3. Haz clic en Siguiente:Etiquetas.
Como alternativa recomendada al paso anterior, puedes crear una política personalizada para restringir aún más el acceso solo al bucket de S3 especificado. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.
Agrega las etiquetas si es necesario y haz clic en Next:Review.
Revisa la configuración y haz clic en Crear usuario.
Copia el ID de clave de acceso y la Clave de acceso secreta del usuario creado para usarlos en el siguiente paso.

Configura el feed en las operaciones de seguridad de Google para transferir registros de AWS

Ve a la configuración de Operaciones de seguridad de Google y haz clic en Feeds.
Haz clic en Agregar nuevo.
Selecciona Amazon S3 en Tipo de fuente.
Selecciona AWS CloudTrail (o algún otro servicio de AWS) en Log Type.

Haz clic en Siguiente.
Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste antes. Además, podrías agregar el URI de S3 con lo siguiente:
```
{{datetime("yyyy/MM/dd")}}
```
Como en el siguiente ejemplo, para que las operaciones de seguridad de Google analicen los registros cada vez solo para un día en particular:
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
```
En El URI ES A, selecciona Directorios que incluyen subdirectorios. Selecciona una opción adecuada en Opción de eliminación de origen. Esta debería coincidir con los permisos de la cuenta de Usuario de IAM que creamos anteriormente.
Proporciona ID de clave de acceso y Clave de acceso secreta de la cuenta de usuario de IAM que creamos anteriormente.
Haz clic en Next y Finish.

Pasos para transferir datos del contexto de AWS

Para transferir datos de contexto sobre las entidades de AWS (como hosts, instancias y usuarios), crea un feed para cada uno de los siguientes tipos de registros, enumerados por descripción y etiqueta de transferencia:

HOSTS DE AWS EC2 (AWS_EC2_HOSTS)
INSTANCIAS DE AWS EC2 (AWS_EC2_INSTANCES)
VPC de AWS EC2 (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

Si deseas crear un feed para cada tipo de registro mencionado anteriormente, haz lo siguiente:

En la barra de navegación, selecciona Configuración, Configuración de SIEM y, luego, Feeds.
En la página Feeds, haz clic en Agregar nuevo. Aparecerá el diálogo Agregar feed.
En el menú Tipo de fuente, selecciona API de terceros.
En el menú Tipo de registro, selecciona Hosts de AWS EC2.
Haz clic en Siguiente.
Ingresa los parámetros de entrada para el feed en los campos correspondientes.
Haz clic en Next y, luego, en Finish.

Si deseas obtener información más detallada acerca de cómo configurar un feed para cada tipo de registro, consulta la siguiente documentación sobre administración de feeds:

Si deseas obtener información general para crear un feed, consulta la Guía del usuario de administración de feeds o la API de administración de feeds.