Importa i log di AWS in Chronicle

Questo documento descrive i passaggi per configurare l'importazione dei dati di contesto e dei log di AWS CloudTrail in Chronicle. Questi passaggi si applicano anche all'importazione dei log da altri servizi AWS, come AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Per importare i log eventi, la configurazione indirizza i log CloudTrail a un bucket Amazon Simple Storage Service (Amazon S3), facoltativamente utilizzando una coda Amazon Simple Queue Service (Amazon SQS). Se viene utilizzata una coda Amazon SQS, Chronicle legge le notifiche di Amazon S3 inviate alla coda Amazon SQS ed estrae i file corrispondenti dal bucket Amazon S3. Si tratta effettivamente di una versione basata su push di un feed Amazon S3 e può essere utilizzata per ottenere una velocità effettiva migliore.

La prima parte di questo documento fornisce passaggi concisi per l'utilizzo di Amazon S3 come tipo di origine del feed o, facoltativamente, di Amazon S3 con Amazon SQS come tipo di origine del feed. La seconda parte fornisce passaggi più dettagliati con screenshot per utilizzare Amazon S3 come tipo di origine del feed. L'uso di Amazon SQS non è trattato nella seconda parte. La terza parte fornisce informazioni su come importare i dati di contesto AWS su host, servizi, reti VPC e utenti.

Passaggi di base per importare i log da S3 o S3 con SQS

Questa sezione descrive i passaggi di base per importare i log di AWS CloudTrail nell'istanza Chronicle. La procedura descrive come eseguire questa operazione utilizzando Amazon S3 come tipo di origine del feed o, facoltativamente, utilizzando Amazon S3 con Amazon SQS come tipo di origine del feed.

Configura AWS CloudTrail e S3

In questa procedura, configurerai i log di AWS CloudTrail per la scrittura in un bucket S3.

  1. Nella console AWS, cerca CloudTrail.
  2. Fai clic su Crea sentiero.
  3. Specifica un Nome sentiero.
  4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.
  5. Specifica un nome per Alias KMS AWS o scegli una Chiave KMS AWS esistente.
  6. Puoi lasciare invariate le altre impostazioni predefinite e fare clic su Avanti.
  7. Scegli Tipo di evento, aggiungi Eventi di dati in base alle esigenze e fai clic su Avanti.
  8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea sentiero.
  9. Nella console AWS, cerca Bucket Amazon S3.
  10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Quindi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi seguenti.

Crea una coda SQS

Facoltativamente, puoi utilizzare una coda SQS. Se utilizzi una coda SQS, deve essere una coda Standard, non una coda FIFO.

Per informazioni dettagliate sulla creazione di code SQS, consulta la Guida introduttiva ad Amazon SQS.

Configura le notifiche per la coda SQS

Se utilizzi una coda SQS, configura le notifiche sul bucket S3 per scrivere nella coda SQS. Assicurati di allegare un criterio di accesso.

Configura utente AWS IAM

Configura un utente AWS IAM che Chronicle utilizzerà per accedere sia alla coda SQS (se utilizzata) che al bucket S3.

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti e poi su Aggiungi utenti nella schermata seguente.
  3. Specifica un nome per l'utente, ad esempio chronicle-feed-user, seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.
  4. Nel passaggio successivo, seleziona Allega direttamente criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, come richiesto. AmazonS3FullAccess deve essere utilizzato se Chronicle deve cancellare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3.
  5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Create policy (Crea criterio) e segui la documentazione di AWS per creare un criterio personalizzato.
  6. Quando applichi un criterio, assicurati di aver incluso sqs:DeleteMessage. Chronicle non è in grado di eliminare i messaggi se l'autorizzazione sqs:DeleteMessage non è collegata alla coda SQS. Tutti i messaggi vengono accumulati sul lato AWS, causando un ritardo quando Chronicle tenta ripetutamente di trasferire gli stessi file.
  7. Fai clic su Next:Tag.
  8. Aggiungi eventuali tag, se necessario, e fai clic su Next:Review.
  9. Esamina la configurazione e fai clic su Crea utente.
  10. Copia i valori ID chiave di accesso e Chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

Crea il feed

Dopo aver completato le procedure precedenti, crea un feed per importare i log AWS dal bucket Amazon S3 nell'istanza Chronicle. Se utilizzi anche una coda SQS, nella procedura seguente seleziona Amazon SQS come tipo di origine anziché Amazon S3.

Per creare un feed:

  1. Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e poi Feed.
  2. Nella pagina Feed, fai clic su Aggiungi nuovo.
  3. Nella finestra di dialogo Aggiungi feed, utilizza la finestra di dialogo Tipo di origine per selezionare Amazon S3 o Amazon SQS.
  4. Nel menu Log Type (Tipo di log), seleziona AWS CloudTrail (o un altro servizio AWS).
  5. Tocca Avanti.
  6. Inserisci i parametri di input per il feed nei relativi campi.

    Se il tipo di origine è Amazon S3:
    1. Seleziona region e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre, puoi aggiungere l'URI S3 con:
      
    {{datetime("yyyy/MM/dd")}}
      Come nell'esempio seguente, in modo che Chronicle esegua la scansione dei log ogni volta solo per un determinato giorno: 
      
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
    2. Per URI È A, seleziona Directory che includono sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine. Dovrebbero corrispondere alle autorizzazioni dell'account Utente IAM che hai creato in precedenza.
    3. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account utente IAM che hai creato in precedenza.

  7. Fai clic su Avanti e Fine.

Passaggi dettagliati per importare i log da S3

Configurare AWS CloudTrail (o altri servizi)

Completa i seguenti passaggi per configurare i log di AWS CloudTrail e indirizzali alla scrittura nel bucket AWS S3 creato nella procedura precedente:

  1. Nella console AWS, cerca CloudTrail.

  2. Fai clic su Crea sentiero.

    alt_text

  3. Specifica un Nome sentiero.

  4. Seleziona Crea nuovo bucket S3. Puoi anche scegliere di utilizzare un bucket S3 esistente.

  5. Specifica un nome per Alias KMS AWS o scegli una Chiave KMS AWS esistente.

    alt_text

  6. Puoi lasciare invariate le altre impostazioni predefinite e fare clic su Avanti.

  7. Scegli Tipo di evento, aggiungi Eventi di dati in base alle esigenze e fai clic su Avanti.

    alt_text

  8. Rivedi le impostazioni in Rivedi e crea e fai clic su Crea sentiero.

  9. Nella console AWS, cerca Bucket Amazon S3.

    alt_text

  10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs. Quindi fai clic su Copia URI S3 e salvalo per utilizzarlo nei passaggi seguenti.

    alt_text

Configura utente AWS IAM

In questo passaggio, configureremo un utente AWS IAM che Chronicle utilizzerà per ricevere i feed di log da AWS.

  1. Nella console AWS, cerca IAM.

    alt_text

  2. Fai clic su Utenti e poi su Aggiungi utenti nella schermata seguente.

    alt_text

  3. Specifica un nome per l'utente, ad esempio chronicle-feed-user, seleziona il tipo di credenziale AWS come Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e fai clic su Avanti: autorizzazioni.

    alt_text

  4. Nel passaggio successivo, seleziona Allega direttamente criteri esistenti e seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess, come richiesto. AmazonS3FullAccess deve essere utilizzato se Chronicle deve cancellare i bucket S3 dopo aver letto i log, per ottimizzare i costi di archiviazione di AWS S3. Fai clic su Next:Tag.

    alt_text

  5. Come alternativa consigliata al passaggio precedente, puoi limitare ulteriormente l'accesso solo al bucket S3 specificato creando un criterio personalizzato. Fai clic su Create policy (Crea criterio) e segui la documentazione di AWS per creare un criterio personalizzato.

    alt_text

  6. Aggiungi eventuali tag, se necessario, e fai clic su Next:Review.

  7. Esamina la configurazione e fai clic su Crea utente.

    alt_text

  8. Copia i valori ID chiave di accesso e Chiave di accesso segreta dell'utente creato per utilizzarli nel passaggio successivo.

    alt_text

Configura il feed in Chronicle per importare i log AWS

  1. Vai alle impostazioni di Chronicle e fai clic su Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Seleziona Amazon S3 come Tipo di origine.
  4. Seleziona AWS CloudTrail (o un altro servizio AWS) come Tipo di log.

alt_text

  1. Fai clic su Avanti.

  2. Seleziona region e fornisci l'URI S3 del bucket Amazon S3 che hai copiato in precedenza. Inoltre puoi aggiungere l'URI S3 con:

    
{{datetime("yyyy/MM/dd")}}

    Come nell'esempio seguente, in modo che Chronicle esegua la scansione dei log ogni volta solo per un determinato giorno:

    
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

  3. In URI IS A seleziona Directory che includono sottodirectory. Seleziona un'opzione appropriata in Opzione di eliminazione dell'origine,che deve corrispondere alle autorizzazioni dell'account utente IAM che abbiamo creato in precedenza.

  4. Fornisci l'ID chiave di accesso e la chiave di accesso segreta dell'account utente IAM che abbiamo creato in precedenza. alt_text

  5. Fai clic su Avanti e Fine.

Passaggi per importare i dati di contesto AWS

Per importare dati di contesto sulle entità AWS (come host, istanze e utenti) crea un feed per ciascuno dei seguenti tipi di log, elencati per descrizione ed etichetta di importazione:

  • HOSTS AWS EC2 (AWS_EC2_HOSTS)
  • ISTANZE AWS EC2 (AWS_EC2_INSTANCES)
  • VPC AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Per creare un feed per ogni tipo di log elencato sopra:

  1. Nella barra di navigazione, seleziona Impostazioni, Impostazioni SIEM e poi Feed.
  2. Nella pagina Feed, fai clic su Aggiungi nuovo. Viene visualizzata la finestra di dialogo Aggiungi feed.
  3. Nel menu Tipo di origine, seleziona API di terze parti.
  4. Nel menu Log Type (Tipo di log), seleziona AWS EC2 Hosts (Host AWS EC2).
  5. Tocca Avanti.
  6. Inserisci i parametri di input per il feed nei relativi campi.
  7. Fai clic su Avanti e poi su Fine.

Per informazioni più dettagliate su come configurare un feed per ogni tipo di log, consulta la seguente documentazione sulla gestione dei feed:

Per informazioni generali sulla creazione di un feed, consulta la guida dell'utente alla gestione dei feed o l'API di gestione dei feed.