AWS-Logs in Chronicle aufnehmen

In diesem Dokument werden die Schritte zum Konfigurieren der Aufnahme von AWS CloudTrail-Logs und Kontextdaten in Chronicle beschrieben. Diese Schritte gelten auch für das Aufnehmen von Logs aus anderen AWS-Diensten wie AWS GuardDuty, AWS VPC Flow, AWS CloudWatch und AWS Security Hub.

Zum Aufnehmen von Ereignislogs werden die CloudTrail-Logs von der Konfiguration in einen Amazon S3-Bucket (Amazon Simple Storage Service) weitergeleitet, wobei optional eine Amazon SQS-Warteschlange (Amazon Simple Queue Service) verwendet wird. Wenn eine Amazon SQS-Warteschlange verwendet wird, liest Chronicle die an die Amazon SQS-Warteschlange gesendeten Amazon S3-Benachrichtigungen und ruft die entsprechenden Dateien aus dem Amazon S3-Bucket ab. Dies ist im Grunde eine Push-basierte Version eines Amazon S3-Feeds und kann verwendet werden, um einen besseren Durchsatz zu erzielen.

Der erste Teil dieses Dokuments enthält prägnante Schritte zur Verwendung von Amazon S3 als Feedquellentyp oder optional zur Verwendung von Amazon S3 mit Amazon SQS als Feedquellentyp. Der zweite Teil enthält detailliertere Schritte mit Screenshots für die Verwendung von Amazon S3 als Feedquellentyp. Die Verwendung von Amazon SQS wird im zweiten Teil nicht behandelt. Der dritte Teil enthält Informationen zum Aufnehmen von AWS-Kontextdaten zu Hosts, Diensten, VPC-Netzwerken und Nutzern.

Grundlegende Schritte zum Aufnehmen von Logs aus S3 oder S3 mit SQS

In diesem Abschnitt werden die grundlegenden Schritte zum Aufnehmen von AWS CloudTrail-Logs in Ihre Chronicle-Instanz beschrieben. In den Schritten wird beschrieben, wie dies mit Amazon S3 als Feedquellentyp oder optional Amazon S3 mit Amazon SQS als Feedquellentyp funktioniert.

AWS CloudTrail und S3 konfigurieren

In diesem Verfahren konfigurieren Sie AWS CloudTrail-Logs so, dass sie in einen S3-Bucket geschrieben werden.

  1. Suchen Sie in der AWS-Konsole nach CloudTrail.
  2. Klicken Sie auf Weg erstellen.
  3. Geben Sie einen Pfadnamen an.
  4. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
  5. Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
  6. Sie können bei den anderen Einstellungen die Standardeinstellungen beibehalten und auf Weiter klicken.
  7. Wählen Sie Ereignistyp aus, fügen Sie bei Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
  8. Prüfen Sie die Einstellungen unter Überprüfen und erstellen und klicken Sie auf Trail erstellen.
  9. Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
  10. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn, um ihn in den folgenden Schritten zu verwenden.

SQS-Warteschlange erstellen

Optional können Sie eine SQS-Warteschlange verwenden. Wenn Sie eine SQS-Warteschlange verwenden, muss es sich um eine Standard-Warteschlange und nicht um eine FIFO-Warteschlange handeln.

Weitere Informationen zum Erstellen von SQS-Warteschlangen finden Sie unter Erste Schritte mit Amazon SQS.

Benachrichtigungen für die SQS-Warteschlange einrichten

Wenn Sie eine SQS-Warteschlange verwenden, richten Sie Benachrichtigungen in Ihrem S3-Bucket ein, um in die SQS-Warteschlange zu schreiben. Vergessen Sie nicht, eine Zugriffsrichtlinie anzuhängen.

AWS IAM-Nutzer konfigurieren

Konfigurieren Sie einen AWS IAM-Nutzer, den Chronicle für den Zugriff auf die SQS-Warteschlange (falls verwendet) und den S3-Bucket verwenden wird.

  1. Suchen Sie in der AWS-Konsole nach IAM.
  2. Klicken Sie auf Nutzer und dann auf dem folgenden Bildschirm auf Nutzer hinzufügen.
  3. Geben Sie einen Namen für den Nutzer ein, z.B. chronicle-feed-user, wählen Sie Select AWS credential type als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.
  4. Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Chronicle die S3-Buckets nach dem Lesen von Logs löschen soll, um die AWS S3-Speicherkosten zu optimieren.
  5. Als empfohlene Alternative zum vorherigen Schritt können Sie den Zugriff auf den angegebenen S3-Bucket weiter einschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
  6. Beim Anwenden einer Richtlinie muss sqs:DeleteMessage enthalten sein. Chronicle kann keine Nachrichten löschen, wenn die Berechtigung sqs:DeleteMessage nicht an die SQS-Warteschlange angehängt wurde. Alle Nachrichten werden auf der AWS-Seite gesammelt, was zu einer Verzögerung führt, da Chronicle wiederholt versucht, dieselben Dateien zu übertragen.
  7. Klicken Sie auf Weiter:Tags.
  8. Fügen Sie bei Bedarf Tags hinzu und klicken Sie auf Weiter:Überprüfen.
  9. Prüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
  10. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für den nächsten Schritt.

Feed erstellen

Nachdem Sie die oben genannten Schritte ausgeführt haben, erstellen Sie einen Feed, um AWS-Logs aus Ihrem Amazon S3-Bucket in Ihre Chronicle-Instanz aufzunehmen. Wenn Sie auch eine SQS-Warteschlange verwenden, wählen Sie im folgenden Verfahren Amazon SQS als Quelltyp anstelle von Amazon S3 aus.

So erstellen Sie einen Feed:

  1. Wählen Sie in der Navigationsleiste Einstellungen, SIEM-Einstellungen und dann Feeds aus.
  2. Klicken Sie auf der Seite Feeds auf Neu hinzufügen.
  3. Wählen Sie im Dialogfeld Feed hinzufügen im Dialogfeld Quelltyp entweder Amazon S3 oder Amazon SQS aus.
  4. Wählen Sie im Menü Logtyp die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.
  5. Klicken Sie auf Next (Weiter).
  6. Geben Sie die Eingabeparameter für Ihren Feed in die Felder ein.

    Wenn der Quelltyp Amazon S3 ist:
    1. Wählen Sie Region aus und geben Sie den S3-URI des Amazon S3-Buckets an, den Sie zuvor kopiert haben. Außerdem könnten Sie den S3-URI folgendermaßen anhängen:
      
    {{datetime("yyyy/MM/dd")}}
      Wie im folgenden Beispiel, damit Chronicle Protokolle jedes Mal nur für einen bestimmten Tag scannt: 
      
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
    2. Wählen Sie für URI IS A die Option Verzeichnisse einschließlich Unterverzeichnissen aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Dies sollte mit den Berechtigungen des zuvor erstellten IAM User-Kontos übereinstimmen.
    3. Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des zuvor erstellten IAM-Nutzerkontos an.

  7. Klicken Sie auf Weiter und Fertigstellen.

Detaillierte Schritte zum Aufnehmen von Logs aus S3

AWS CloudTrail (oder einen anderen Dienst) konfigurieren

Führen Sie die folgenden Schritte aus, um AWS CloudTrail-Logs zu konfigurieren und in den AWS S3-Bucket zu schreiben, der im vorherigen Verfahren erstellt wurde:

  1. Suchen Sie in der AWS-Konsole nach CloudTrail.

  2. Klicken Sie auf Weg erstellen.

    alt_text

  3. Geben Sie einen Pfadnamen an.

  4. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.

  5. Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.

    alt_text

  6. Sie können bei den anderen Einstellungen die Standardeinstellungen beibehalten und auf Weiter klicken.

  7. Wählen Sie Ereignistyp aus, fügen Sie bei Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.

    alt_text

  8. Prüfen Sie die Einstellungen unter Überprüfen und erstellen und klicken Sie auf Trail erstellen.

  9. Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.

    alt_text

  10. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn, um ihn in den folgenden Schritten zu verwenden.

    alt_text

AWS IAM-Nutzer konfigurieren

In diesem Schritt konfigurieren wir einen AWS IAM-Nutzer, mit dem Chronicle Logfeeds von AWS abruft.

  1. Suchen Sie in der AWS-Konsole nach IAM.

    alt_text

  2. Klicken Sie auf Nutzer und dann auf dem folgenden Bildschirm auf Nutzer hinzufügen.

    alt_text

  3. Geben Sie einen Namen für den Nutzer ein, z.B. chronicle-feed-user, wählen Sie Select AWS credential type als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.

    alt_text

  4. Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Chronicle die S3-Buckets nach dem Lesen von Logs löschen soll, um die AWS S3-Speicherkosten zu optimieren. Klicken Sie auf Weiter:Tags.

    alt_text

  5. Als empfohlene Alternative zum vorherigen Schritt können Sie den Zugriff auf den angegebenen S3-Bucket weiter einschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.

    alt_text

  6. Fügen Sie bei Bedarf Tags hinzu und klicken Sie auf Weiter:Überprüfen.

  7. Prüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.

    alt_text

  8. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für den nächsten Schritt.

    alt_text

Feed in Chronicle für die Aufnahme von AWS-Logs konfigurieren

  1. Rufen Sie die Chronicle-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Wählen Sie Amazon S3 als Quelltyp aus.
  4. Wählen Sie als Logtyp die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.

alt_text

  1. Klicken Sie auf Weiter.

  2. Wählen Sie Region aus und geben Sie den S3-URI des Amazon S3-Buckets an, den Sie zuvor kopiert haben. Darüber hinaus könnten Sie den S3-URI mit Folgendem anhängen:

    
{{datetime("yyyy/MM/dd")}}

    Wie im folgenden Beispiel, damit Chronicle Protokolle jedes Mal nur für einen bestimmten Tag scannt:

    
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

  3. Wählen Sie unter URI IST A die Option Verzeichnisse einschließlich Unterverzeichnissen aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Diese sollte den Berechtigungen des zuvor erstellten IAM-Nutzerkontos entsprechen.

  4. Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des zuvor erstellten IAM-Nutzerkontos an. alt_text

  5. Klicken Sie auf Weiter und Fertigstellen.

Schritte zur Aufnahme von AWS-Kontextdaten

Erstellen Sie zur Aufnahme von Kontextdaten zu AWS-Entitäten (z. B. Hosts, Instanzen und Nutzer) einen Feed für jeden der folgenden Logtypen, aufgelistet nach Beschreibung und Aufnahmelabel:

  • AWS EC2-HOSTS (AWS_EC2_HOSTS)
  • AWS EC2-INSTANZEN (AWS_EC2_INSTANCES)
  • AWS EC2-VPCS (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

So erstellen Sie einen Feed für jeden der oben aufgeführten Protokolltypen:

  1. Wählen Sie in der Navigationsleiste Einstellungen, SIEM-Einstellungen und dann Feeds aus.
  2. Klicken Sie auf der Seite Feeds auf Neu hinzufügen. Das Dialogfeld Feed hinzufügen wird angezeigt.
  3. Wählen Sie im Menü Quelltyp die Option Drittanbieter-API aus.
  4. Wählen Sie im Menü Log Type (Logtyp) die Option AWS EC2 Hosts (AWS EC2-Hosts) aus.
  5. Klicken Sie auf Next (Weiter).
  6. Geben Sie die Eingabeparameter für den Feed in die Felder ein.
  7. Klicken Sie auf Weiter und dann auf Fertigstellen.

Ausführlichere Informationen zum Einrichten eines Feeds für jeden Protokolltyp finden Sie in der folgenden Dokumentation zur Feedverwaltung:

Allgemeine Informationen zum Erstellen eines Feeds finden Sie im Nutzerhandbuch für die Feedverwaltung oder in der Feedverwaltungs API.