AWS-Logs in Google Security Operations aufnehmen

In diesem Dokument werden die Schritte zum Konfigurieren der Aufnahme von AWS CloudTrail beschrieben Protokoll- und Kontextdaten in Google Security Operations ein. Diese Schritte gelten auch für die Aufnahme von Protokollen aus anderen AWS-Diensten wie AWS GuardDuty, AWS VPC Flow, AWS CloudWatch und AWS Security Hub.

Zur Aufnahme von Ereignisprotokollen leitet die Konfiguration die CloudTrail-Logs an eine Amazon S3-Bucket (Amazon Simple Storage Service), optional mit einem Amazon-Bucket Amazon SQS-Warteschlange (Simple Queue Service) Wenn eine Amazon SQS-Warteschlange verwendet wird, Google Security Operations liest die Amazon S3-Benachrichtigungen, die an Amazon gesendet werden. SQS-Warteschlange und ruft die entsprechenden Dateien aus dem Amazon S3-Bucket ab. Dies ist eine Push-basierte Version eines Amazon S3-Feeds und kann für Folgendes verwendet werden: um einen besseren Durchsatz zu erzielen.

Der erste Teil dieses Dokuments enthält kurze Schritte zur Verwendung von Amazon S3 als den Typ der Feedquelle oder optional Amazon S3 mit Amazon SQS als Feed Quelltyp. Der zweite Teil enthält detailliertere Schritte mit Screenshots für mit Amazon S3 als Feedquelltyp. Die Verwendung von Amazon SQS wird im zweiten Teil nicht behandelt. Der dritte Teil enthält Informationen zum Aufnehmen von AWS-Kontext Daten über Hosts, Dienste, VPC-Netzwerke und Nutzer.

Grundlegende Schritte zum Aufnehmen von Logs aus S3 oder S3 mit SQS

In diesem Abschnitt werden die grundlegenden Schritte zum Aufnehmen von AWS CloudTrail-Logs in Ihre Google Security Operations-Instanz beschrieben. In den Schritten wird beschrieben, wie Sie dies mit Amazon S3 als Feedquellentyp oder optional mit Amazon S3 und Amazon SQS als Feedquellentyp tun.

AWS CloudTrail und S3 konfigurieren

In diesem Verfahren konfigurieren Sie AWS CloudTrail-Logs so, dass sie in einen S3-Bucket geschrieben werden.

1. Suchen Sie in der AWS-Konsole nach CloudTrail.
2. Klicken Sie auf Weg erstellen.
3. Geben Sie einen Namen für den Weg an.
4. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
5. Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
6. Sie können die anderen Einstellungen beibehalten und auf Weiter klicken.
7. Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
8. Überprüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Weg erstellen.
9. Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
10. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn für die folgenden Schritte.

SQS-Warteschlange erstellen

Optional können Sie auch eine SQS-Warteschlange verwenden. Wenn Sie eine SQS-Warteschlange verwenden, muss es sich um eine Standard-Warteschlange handeln, nicht um eine FIFO-Warteschlange.

Weitere Informationen zum Erstellen von SQS-Warteschlangen finden Sie unter Erste Schritte mit Amazon SQS.

Benachrichtigungen für die SQS-Warteschlange einrichten

Wenn Sie eine SQS-Warteschlange verwenden, richten Sie Benachrichtigungen für Ihren S3-Bucket ein. um in Ihre SQS-Warteschlange zu schreiben. Vergessen Sie nicht, eine Zugriffsrichtlinie anzuhängen.

AWS IAM-Nutzer konfigurieren

Konfigurieren Sie einen AWS IAM-Nutzer, den Google Security Operations für den Zugriff auf die SQS-Warteschlange (falls verwendet) und den S3-Bucket verwendet.

1. Suchen Sie in der AWS Console nach IAM.
2. Klicken Sie auf Nutzer und dann auf dem nächsten Bildschirm auf Nutzer hinzufügen.
3. Geben Sie einen Namen für den Nutzer an, z. B. chronicle-feed-user, wählen Sie AWS-Anmeldedatentyp als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.
4. Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Protokollen löschen soll, um die AWS S3-Speicherkosten zu optimieren.
5. Als Alternative zum vorherigen Schritt können Sie den Zugriff auf den angegebenen S3-Bucket weiter einschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
6. Achten Sie beim Anwenden einer Richtlinie darauf, dass Sie sqs:DeleteMessage angegeben haben. Google Security Operations kann Nachrichten nicht löschen, wenn die sqs:DeleteMessage Berechtigung ist nicht an die SQS-Warteschlange angehängt. Alle Nachrichten werden auf Dies führt zu einer Verzögerung, da Google Security Operations wiederholt versucht, dieselben Dateien zu übertragen.
7. Klicken Sie auf Weiter: Tags.
8. Fügen Sie gegebenenfalls Tags hinzu und klicken Sie auf Next: Review (Weiter: Überprüfen).
9. Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
10. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für die Verwendung im nächsten Schritt.

Feed erstellen

Nachdem Sie die vorherigen Schritte ausgeführt haben, erstellen Sie einen Feed, um AWS-Protokolle aus Ihrem Amazon S3-Bucket in Ihre Google Security Operations-Instanz aufzunehmen. Wenn Sie eine SQS-Warteschlange verwenden, wählen Sie im folgenden Verfahren Amazon SQS als Quelltyp anstelle von Amazon S3 aus.

So erstellst du einen Feed:

1. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen und dann Feeds aus.
2. Klicken Sie auf der Seite Feeds auf Neu hinzufügen.
3. Wählen Sie im Dialogfeld Feed hinzufügen im Dialogfeld Quelltyp entweder Amazon S3 oder Amazon SQS aus.
4. Wählen Sie im Menü Log-Typ die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.
5. Klicken Sie auf Weiter.

6. Geben Sie die Eingabeparameter für Ihren Feed in die Felder ein.
   Wenn der Quelltyp „Amazon S3“ ist, gehen Sie so vor:

   1. Wählen Sie Region aus und geben Sie den S3-URI des Amazon S3-Buckets an, den Sie kopiert haben. zuvor. Sie können den S3-URI auch mit der Variablen anhängen.

       {{datetime("yyyy/MM/dd")}}
       

      Im folgenden Beispiel scannt Google Security Operations Protokolle jeweils nur für einen bestimmten Tag.

       s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
       

   2. Wählen Sie für URI IS A die Option Verzeichnisse einschließlich Unterverzeichnisse aus. Auswählen unter Option zum Löschen der Quelle eine entsprechende Option auswählen. Achten Sie darauf, dass sie mit den Berechtigungen des IAM-Nutzerkontos, das Sie zuvor erstellt haben.

   3. Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des IAM-Nutzerkontos an, das Sie zuvor erstellt haben.

7. Klicken Sie auf Weiter und dann auf Fertigstellen.

Detaillierte Schritte zum Aufnehmen von Logs aus S3

AWS CloudTrail (oder einen anderen Dienst) konfigurieren

Führen Sie die folgenden Schritte aus, um AWS CloudTrail-Logs zu konfigurieren und festzulegen, dass diese Logs in den AWS S3-Bucket geschrieben werden, der im vorherigen Verfahren erstellt wurde:

1. Suchen Sie in der AWS-Konsole nach CloudTrail.

2. Klicken Sie auf Weg erstellen.

   

3. Geben Sie einen Namen für den Weg an.

4. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.

5. Geben Sie einen Namen für AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS-KMS-Schlüssel aus.

   

6. Sie können die anderen Einstellungen als Standardeinstellungen beibehalten und auf Weiter klicken.

7. Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.

   

8. Prüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Trail erstellen.

9. Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.

   

10. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn zur Verwendung in den folgenden Schritten.

    

AWS IAM-Nutzer konfigurieren

In diesem Schritt konfigurieren wir einen AWS IAM-Nutzer, mit dem Google Security Operations Protokollfeeds von AWS abrufen kann.

1. Suchen Sie in der AWS-Konsole nach IAM.

   

2. Klicken Sie auf Nutzer und dann auf dem nächsten Bildschirm auf Nutzer hinzufügen.

   

3. Geben Sie einen Namen für den Nutzer an, z.B. chronicle-feed-user, wählen Sie AWS-Anmeldedatentyp als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.

   

4. Wählen Sie im nächsten Schritt Bestehende Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Logs löschen soll, um die AWS S3-Speicherkosten zu optimieren. Klicken Sie auf Weiter: Tags.

   

5. Als empfohlene Alternative zum vorherigen Schritt können Sie den Zugriff weiter auf den angegebenen S3-Bucket beschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.

   

6. Fügen Sie bei Bedarf Tags hinzu und klicken Sie auf Weiter: Überprüfen.

7. Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.

   

8. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für die Verwendung im nächsten Schritt.

   

Feed in Google Security Operations konfigurieren, um AWS-Logs aufzunehmen

1. Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Wählen Sie als Quelltyp die Option Amazon S3 aus.
4. Wählen Sie AWS CloudTrail (oder einen anderen AWS-Dienst) als Log Type (Logtyp) aus.

1. Klicken Sie auf Weiter.

2. Wählen Sie region aus und geben Sie den S3-URI des zuvor kopierten Amazon S3-Buckets an. Außerdem könnten Sie den S3-URI wie folgt anhängen:

   
   {{datetime("yyyy/MM/dd")}}
   
   

   Wie im folgenden Beispiel, damit Google Security Operations Logs jedes Mal nur für einen bestimmten Tag scannt:

   
   s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
   
   

3. Wählen Sie unter URI IS A die Option Directories including subdirectories (Verzeichnisse einschließlich Unterverzeichnisse) aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Diese sollte mit den Berechtigungen des zuvor erstellten IAM-Nutzerkontos übereinstimmen.

4. Geben Sie die Access Key ID (Zugriffsschlüssel-ID) und den Secret Access Key (geheimer Zugriffsschlüssel) für das zuvor erstellte IAM-Nutzerkonto an.

5. Klicken Sie auf Weiter und Fertigstellen.

Schritte zum Aufnehmen von AWS-Kontextdaten

Wenn Sie Kontextdaten zu AWS-Entitäten wie Hosts, Instanzen und Nutzern aufnehmen möchten, erstellen Sie einen Feed für jeden der folgenden Protokolltypen, sortiert nach Beschreibung und Aufnahmelabel:

• AWS EC2-HOSTS (AWS_EC2_HOSTS)
• AWS EC2-INSTANZEN (AWS_EC2_INSTANCES)
• AWS EC2-VPCs (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

So erstellen Sie einen Feed für jeden der oben aufgeführten Protokolltypen:

1. Wählen Sie in der Navigationsleiste Einstellungen, SIEM-Einstellungen und dann Feeds aus.
2. Klicken Sie auf der Seite Feeds auf Neu hinzufügen. Das Dialogfeld Feed hinzufügen wird angezeigt.
3. Wählen Sie im Menü Quelltyp die Option Third Party API aus.
4. Wählen Sie im Menü Log-Typ die Option AWS EC2-Hosts aus.
5. Klicken Sie auf Weiter.
6. Geben Sie die Eingabeparameter für den Feed in die Felder ein.
7. Klicken Sie auf Weiter und dann auf Fertigstellen.

Weitere Informationen zum Einrichten eines Feeds für jeden Protokolltyp finden Sie in der folgenden Dokumentation zur Feedverwaltung:

• AWS EC2 HOSTS (AWS_EC2_HOSTS)
• AWS EC2-INSTANZEN (AWS_EC2_INSTANCES)
• AWS EC2 VPCs (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

Allgemeine Informationen zum Erstellen eines Feeds finden Sie im Nutzerhandbuch für die Feedverwaltung oder in der Feedverwaltung API.