Importare i log AWS in Google Security Operations

Questo documento descrive i passaggi per configurare l'importazione dei log e dei dati di contesto di AWS CloudTrail in Google Security Operations. Questi passaggi si applicano anche all'importazione dei log da altri servizi AWS, come AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Per importare i log eventi, la configurazione indirizza i log CloudTrail a un bucket Amazon Simple Storage Service (Amazon S3). Puoi scegliere tra Amazon Simple Queue Service (Amazon SQS) o Amazon S3 come tipo di origine del feed.

La prima parte di questo documento fornisce passaggi concisi per utilizzare Amazon S3 come tipo di origine del feed o, preferibilmente, Amazon S3 con Amazon SQS come tipo di origine del feed. La seconda parte fornisce passaggi più dettagliati con screenshot per l'utilizzo di Amazon S3 come tipo di origine del feed. L'utilizzo di Amazon SQS non è trattato nella seconda parte. La terza parte fornisce informazioni su come importare i dati di contesto AWS su host, servizi, reti VPC e utenti.

Passaggi di base per importare i log da S3 con o senza SQS

Questa sezione descrive i passaggi di base per importare i log di AWS CloudTrail nella tua istanza Google Security Operations. I passaggi descrivono come eseguire questa operazione utilizzando Amazon S3 con Amazon SQS come tipo di origine del feed o, facoltativamente, Amazon S3 come tipo di origine del feed.

Configura AWS CloudTrail e S3

In questa procedura, configuri i log di AWS CloudTrail in modo che vengano scritti in un bucket S3.

1. Nella console AWS, cerca CloudTrail.
2. Fai clic su Crea percorso.
3. Fornisci un nome del percorso.
4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.
5. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
6. Puoi lasciare le altre impostazioni predefinite e fare clic su Avanti.
7. Scegli Tipo di evento, aggiungi gli Eventi di dati richiesti e fai clic su Avanti.
8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea traccia.
9. Nella console AWS, cerca Bucket Amazon S3.
10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Poi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi successivi.

Crea una coda SQS

Ti consigliamo di utilizzare una coda SQS. Se utilizzi una coda SQS, deve essere una coda standard, non una coda FIFO.

Per informazioni dettagliate sulla creazione delle code SQS, consulta la guida introduttiva ad Amazon SQS.

Configurare le notifiche per la coda SQS

Se utilizzi una coda SQS, configura le notifiche nel tuo bucket S3 per scrivere nella coda SQS. Assicurati di allegare un criterio di accesso.

Configura l'utente AWS IAM

Configura un utente AWS IAM che Google Security Operations utilizzerà per accedere sia alla coda SQS (se utilizzata) sia al bucket S3.

1. Nella console AWS, cerca IAM.
2. Fai clic su Utenti e poi,nella schermata successiva, fai clic su Aggiungi utenti.
3. Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.
4. Nel passaggio successivo, seleziona Allega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, a seconda dei casi. AmazonS3FullAccess verrebbe utilizzato se Google Security Operations dovesse svuotare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3.
5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione AWS per creare un criterio personalizzato.
6. Quando applichi un criterio, assicurati di aver incluso sqs:DeleteMessage. Google Security Operations non è in grado di eliminare i messaggi se l'sqs:DeleteMessage autorizzazione non è associata alla coda SQS. Tutti i messaggi vengono accumulati sul lato AWS, il che causa un ritardo quando Google Security Operations tenta ripetutamente di trasferire gli stessi file.
7. Fai clic su Successivo:tag.
8. Se necessario, aggiungi i tag e fai clic su Avanti:Rivedi.
9. Rivedi la configurazione e fai clic su Crea utente.
10. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

Creare il feed

Dopo aver completato le procedure precedenti, crea un feed per importare i log AWS dal tuo bucket Amazon S3 nell'istanza Google Security Operations. Se non utilizzi una coda SQS, nella procedura seguente seleziona Amazon S3 per il tipo di origine del feed anziché Amazon SQS.

Per creare un feed:

1. Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM e poi Feed.
2. Nella pagina Feed, fai clic su Aggiungi nuovo.
3. Nella finestra di dialogo Aggiungi feed, utilizza la finestra di dialogo Tipo di origine per selezionare Amazon SQS o Amazon S3.
4. Nel menu Tipo di log, seleziona AWS CloudTrail (o un altro servizio AWS).
5. Fai clic su Avanti.

6. Inserisci i parametri di input per il feed nei campi.
   Se il tipo di origine del feed è Amazon S3, svolgi i seguenti passaggi:

   1. Seleziona regione e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Puoi anche aggiungere l'URI S3 utilizzando la variabile.

       {{datetime("yyyy/MM/dd")}}
       

      Nell'esempio seguente, Google Security Operations esegue la scansione dei log ogni volta solo per un determinato giorno.

       s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
       

   2. Per URI È UN, seleziona Directory incluse le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine. Assicurati che corrispondano alle autorizzazioni dell'account Utente IAM creato in precedenza.

   3. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account utente IAM creato in precedenza.

7. Fai clic su Avanti e Fine.

Procedura dettagliata per importare i log da S3

Configura AWS CloudTrail (o un altro servizio)

Completa i seguenti passaggi per configurare i log di AWS CloudTrail e indirizzarli alla scrittura nel bucket AWS S3 creato nella procedura precedente:

1. Nella console AWS, cerca CloudTrail.

2. Fai clic su Crea percorso.

   

3. Fornisci un nome del percorso.

4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.

5. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.

   

6. Puoi lasciare le altre impostazioni predefinite e fare clic su Avanti.

7. Scegli Tipo di evento, aggiungi gli Eventi di dati richiesti e fai clic su Avanti.

   

8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea traccia.

9. Nella console AWS, cerca Bucket Amazon S3.

   

10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Poi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi successivi.

    

Configura l'utente AWS IAM

In questo passaggio, configureremo un utente AWS IAM che verrà utilizzato da Google Security Operations per ricevere i feed dei log da AWS.

1. Nella console AWS, cerca IAM.

   

2. Fai clic su Utenti e poi,nella schermata successiva, fai clic su Aggiungi utenti.

   

3. Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.

   

4. Nel passaggio successivo, seleziona Allega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, a seconda dei casi. AmazonS3FullAccess verrebbe utilizzato se Google Security Operations dovesse svuotare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3. Fai clic su Successivo:tag.

   

5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione AWS per creare un criterio personalizzato.

   

6. Se necessario, aggiungi i tag e fai clic su Avanti:Rivedi.

7. Rivedi la configurazione e fai clic su Crea utente.

   

8. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

   

Configurare il feed in Google Security Operations per importare i log AWS

1. Vai alle impostazioni di Google Security Operations e fai clic su Feed.
2. Fai clic su Aggiungi nuovo.
3. Seleziona Amazon SQS o Amazon S3 come Tipo di origine del feed.
4. Seleziona AWS CloudTrail (o un altro servizio AWS) per Tipo di log.

1. Fai clic su Avanti.

2. Seleziona regione e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre, puoi aggiungere all'URI S3:

   
   {{datetime("yyyy/MM/dd")}}
   
   

   Come nell'esempio seguente, in modo che Google Security Operations esamini i log ogni volta solo per un determinato giorno:

   
   s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
   
   

3. In URI È UN, seleziona Directory incluse le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine,che deve corrispondere alle autorizzazioni dell'account Utente IAM che abbiamo creato in precedenza.

4. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account Utente IAM che abbiamo creato in precedenza.

5. Fai clic su Avanti e Fine.

Passaggi per importare i dati di contesto AWS

Per importare i dati di contesto sulle entità AWS (ad esempio host, istanze e utenti), crea un feed per ciascuno dei seguenti tipi di log, elencati per descrizione e etichetta di importazione:

• AWS EC2 HOSTS (AWS_EC2_HOSTS)
• ISTANZE AWS EC2 (AWS_EC2_INSTANCES)
• VPC AWS EC2 (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

Per creare un feed per ciascuno di questi tipi di log:

1. Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e poi Feed.
2. Nella pagina Feed, fai clic su Aggiungi nuovo. Viene visualizzata la finestra di dialogo Aggiungi feed.
3. Nel menu Tipo di origine, seleziona API di terze parti.
4. Nel menu Tipo di log, seleziona Host AWS EC2.
5. Fai clic su Avanti.
6. Inserisci i parametri di input per il feed nei campi.
7. Fai clic su Avanti e poi su Fine.

Per informazioni più dettagliate sulla configurazione di un feed per ogni tipo di log, consulta la seguente documentazione sulla gestione dei feed:

• HOST AWS EC2 (AWS_EC2_HOSTS)
• AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
• VPC AWS EC2 (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

Per informazioni generali sulla creazione di un feed, consulta la guida dell'utente per la gestione dei feed o l'API Feed Management.