Importa i log AWS in Google Security Operations

Questo documento descrive i passaggi per configurare l'importazione dei log e dei dati di contesto AWS CloudTrail in Google Security Operations. Questi passaggi si applicano anche all'importazione dei log di altri servizi AWS, come AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Per importare i log eventi, la configurazione indirizza i log CloudTrail in un bucket Amazon Simple Storage Service (Amazon S3), facoltativamente utilizzando una coda Amazon Simple Queue Service (Amazon SQS). Se viene utilizzata una coda Amazon SQS, Google Security Operations legge le notifiche Amazon S3 inviate alla coda Amazon SQS ed estrae i file corrispondenti dal bucket Amazon S3. Si tratta effettivamente di una versione basata su push di un feed Amazon S3 e può essere utilizzata per ottenere una migliore velocità effettiva.

La prima parte di questo documento contiene la procedura concisa per utilizzare Amazon S3 come tipo di origine del feed o, facoltativamente, utilizzare Amazon S3 con Amazon SQS come tipo di origine del feed. La seconda parte fornisce passaggi più dettagliati con screenshot per l'utilizzo di Amazon S3 come tipo di origine del feed. L'utilizzo di Amazon SQS non è trattato nella seconda parte. La terza parte fornisce informazioni su come importare i dati di contesto AWS su host, servizi, reti VPC e utenti.

Passaggi di base per importare i log da S3 o S3 con SQS

Questa sezione descrive i passaggi di base per importare i log di AWS CloudTrail nella tua istanza Google Security Operations. I passaggi descrivono come eseguire questa operazione utilizzando Amazon S3 come tipo di origine del feed o, facoltativamente, utilizzando Amazon S3 con Amazon SQS come tipo di origine del feed.

Configura AWS CloudTrail e S3

In questa procedura, configurerai i log AWS CloudTrail in modo che vengano scritti in un bucket S3.

  1. Nella console AWS, cerca CloudTrail.
  2. Fai clic su Crea percorso.
  3. Specifica un Nome sentiero.
  4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.
  5. Specifica un nome per l'alias KMS AWS o scegli una chiave KMS AWS esistente.
  6. Puoi lasciare invariate le altre impostazioni predefinite e fare clic su Avanti.
  7. Scegli Tipo di evento, aggiungi Eventi dati come richiesto e fai clic su Avanti.
  8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea percorso.
  9. Nella console AWS, cerca Bucket Amazon S3.
  10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Quindi, fai clic su Copia URI S3 e salvalo per utilizzarlo nei seguenti passaggi.

Crea una coda SQS

Facoltativamente, puoi utilizzare una coda SQS. Se utilizzi una coda SQS, deve essere una coda standard, non una coda FIFO.

Per maggiori dettagli sulla creazione di code SQS, consulta la guida introduttiva ad Amazon SQS.

Impostare le notifiche nella coda SQS

Se utilizzi una coda SQS, configura le notifiche sul bucket S3 per scrivere nella coda SQS. Assicurati di collegare un criterio di accesso.

Configura utente AWS IAM

Configura un utente AWS IAM che Google Security Operations utilizzerà per accedere sia alla coda SQS (se utilizzata) sia al bucket S3.

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti e nella schermata seguente, fai clic su Aggiungi utenti.
  3. Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Chiave di accesso - Accesso programmatico e fai clic su Avanti: autorizzazioni.
  4. Nel passaggio successivo, seleziona Collega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, come richiesto. AmazonS3FullAccess verrà utilizzato se Google Security Operations dovesse cancellare i bucket S3 dopo aver letto i log per ottimizzare i costi di archiviazione di AWS S3.
  5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione di AWS per creare una norma personalizzata.
  6. Quando applichi un criterio, assicurati di aver incluso sqs:DeleteMessage. Google Security Operations non è in grado di eliminare i messaggi se l'autorizzazione sqs:DeleteMessage non è collegata alla coda SQS. Tutti i messaggi vengono accumulati sul lato AWS, il che causa un ritardo dovuto al fatto che Google Security Operations tenta ripetutamente di trasferire gli stessi file.
  7. Fai clic su Successivo:Tag.
  8. Aggiungi eventuali tag, se necessario, e fai clic su Successivo:rivedi.
  9. Rivedi la configurazione e fai clic su Crea utente.
  10. Copia l'ID chiave di accesso e la Chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

Crea il feed

Dopo aver completato le procedure precedenti, crea un feed per importare i log AWS dal bucket Amazon S3 nell'istanza Google Security Operations. Se utilizzi anche una coda SQS, nella procedura seguente seleziona Amazon SQS come tipo di origine anziché Amazon S3.

Per creare un feed:

  1. Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e poi Feed.
  2. Nella pagina Feed, fai clic su Aggiungi nuovo.
  3. Nella finestra di dialogo Aggiungi feed, utilizza la finestra di dialogo Tipo di origine per selezionare Amazon S3 o Amazon SQS.
  4. Nel menu Tipo di log, seleziona AWS CloudTrail (o un altro servizio AWS).
  5. Fai clic su Avanti.
  6. Inserisci i parametri di input per il feed nei campi.

    Se il tipo di origine è Amazon S3:
    1. Seleziona region e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre, potresti aggiungere l'URI S3 con:
      
    {{datetime("yyyy/MM/dd")}}
      Come nell'esempio seguente, in modo che Google Security Operations esegua la scansione dei log ogni volta solo per un determinato giorno: 
      
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
    2. Per URI IS A, seleziona Directory che includono le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione origine. Dovrebbero corrispondere alle autorizzazioni dell'account Utente IAM che hai creato in precedenza.
    3. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account utente IAM creato in precedenza.

  7. Fai clic su Avanti e Fine.

Passaggi dettagliati per importare i log da S3

Configura AWS CloudTrail (o un altro servizio)

Completa i seguenti passaggi per configurare i log AWS CloudTrail e indirizzarli alla scrittura nel bucket AWS S3 creato nella procedura precedente:

  1. Nella console AWS, cerca CloudTrail.

  2. Fai clic su Crea percorso.

    alt_text

  3. Specifica un Nome sentiero.

  4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.

  5. Specifica un nome per l'alias KMS AWS o scegli una chiave KMS AWS esistente.

    alt_text

  6. Puoi lasciare invariate le altre impostazioni predefinite e fare clic su Avanti.

  7. Scegli Tipo di evento, aggiungi Eventi dati come richiesto e fai clic su Avanti.

    alt_text

  8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea percorso.

  9. Nella console AWS, cerca Bucket Amazon S3.

    alt_text

  10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Quindi, fai clic su Copia URI S3 e salvalo per utilizzarlo nei seguenti passaggi.

    alt_text

Configura utente AWS IAM

In questo passaggio configureremo un utente AWS IAM che Google Security Operations utilizzerà per ottenere feed di log da AWS.

  1. Nella console AWS, cerca IAM.

    alt_text

  2. Fai clic su Utenti e nella schermata seguente, fai clic su Aggiungi utenti.

    alt_text

  3. Fornisci un nome per l'utente, ad esempio chronicle-feed-user, Seleziona il tipo di credenziale AWS come Chiave di accesso - Accesso programmatico e fai clic su Avanti: autorizzazioni.

    alt_text

  4. Nel passaggio successivo, seleziona Collega direttamente i criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, come richiesto. AmazonS3FullAccess verrà utilizzato se Google Security Operations dovesse cancellare i bucket S3 dopo aver letto i log per ottimizzare i costi di archiviazione di AWS S3. Fai clic su Successivo:Tag.

    alt_text

  5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Crea criterio e segui la documentazione di AWS per creare una norma personalizzata.

    alt_text

  6. Aggiungi eventuali tag, se necessario, e fai clic su Successivo:rivedi.

  7. Rivedi la configurazione e fai clic su Crea utente.

    alt_text

  8. Copia l'ID chiave di accesso e la Chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

    alt_text

Configura il feed in Google Security Operations per importare i log AWS

  1. Vai alle impostazioni di Google Security Operations e fai clic su Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Seleziona Amazon S3 per Tipo di origine.
  4. Seleziona AWS CloudTrail (o un altro servizio AWS) per Tipo di log.

alt_text

  1. Fai clic su Avanti.

  2. Seleziona region e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre, puoi aggiungere l'URI S3 con:

    
{{datetime("yyyy/MM/dd")}}

    Come nell'esempio seguente, in modo che Google Security Operations esegua la scansione dei log ogni volta solo per un determinato giorno:

    
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

  3. In URI IS A seleziona Directory incluse le sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione origine,che dovrebbe corrispondere alle autorizzazioni dell'account Utente IAM che abbiamo creato in precedenza.

  4. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account Utente IAM creato in precedenza. alt_text

  5. Fai clic su Avanti e Fine.

Passaggi per importare i dati di contesto AWS

Per importare dati di contesto sulle entità AWS (come host, istanze e utenti), crea un feed per ciascuno dei seguenti tipi di log, elencati sotto forma di descrizione ed etichetta di importazione:

  • HOST AWS EC2 (AWS_EC2_HOSTS)
  • ISTANZE AWS EC2 (AWS_EC2_INSTANCES)
  • VPC AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Per creare un feed per ogni tipo di log elencato in precedenza:

  1. Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e quindi Feed.
  2. Nella pagina Feed, fai clic su Aggiungi nuovo. Viene visualizzata la finestra di dialogo Aggiungi feed.
  3. Nel menu Tipo di origine, seleziona API di terze parti.
  4. Nel menu Tipo di log, seleziona Host AWS EC2.
  5. Fai clic su Avanti.
  6. Inserisci i parametri di input per il feed nei campi.
  7. Fai clic su Avanti e poi su Fine.

Per informazioni più dettagliate sull'impostazione di un feed per ciascun tipo di log, consulta la seguente documentazione sulla gestione dei feed:

Per informazioni generali sulla creazione di un feed, consulta la guida dell'utente alla gestione dei feed o l'API di gestione dei feed.