Diese Seite wurde von der Cloud Translation API übersetzt.

AWS-Logs in Google Security Operations aufnehmen

In diesem Dokument werden die Schritte zum Konfigurieren der Aufnahme von AWS CloudTrail-Logs und Kontextdaten in Google Security Operations beschrieben. Diese Schritte gelten auch für die Aufnahme von Logs aus anderen AWS-Diensten wie AWS GuardDuty, AWS VPC Flow, AWS CloudWatch und AWS Security Hub.

Zur Aufnahme von Ereignisprotokollen leitet die Konfiguration die CloudTrail-Logs an einen Amazon S3-Bucket (Amazon Simple Storage Service) weiter. Optional kann auch eine Amazon SQS-Warteschlange (Amazon Simple Queue Service) verwendet werden. Wenn eine Amazon SQS-Warteschlange verwendet wird, liest Google Security Operations die Amazon S3-Benachrichtigungen, die an die Amazon SQS-Warteschlange gesendet werden, und ruft die entsprechenden Dateien aus dem Amazon S3-Bucket ab. Dies ist praktisch eine Push-basierte Version eines Amazon S3-Feeds und kann verwendet werden, um einen besseren Durchsatz zu erzielen.

Der erste Teil dieses Dokuments enthält kurze Schritte zur Verwendung von Amazon S3 als Feedquelltyp oder optional mit Amazon S3 mit Amazon SQS als Feedquelltyp. Der zweite Teil enthält detailliertere Schritte mit Screenshots für die Verwendung von Amazon S3 als Feedquelltyp. Die Verwendung von Amazon SQS wird im zweiten Teil nicht behandelt. Der dritte Teil enthält Informationen zum Aufnehmen von AWS-Kontextdaten zu Hosts, Diensten, VPC-Netzwerken und Nutzern.

Grundlegende Schritte zum Aufnehmen von Logs aus S3 oder S3 mit SQS

In diesem Abschnitt werden die grundlegenden Schritte zur Aufnahme von AWS CloudTrail-Logs in Ihre Google Security Operations-Instanz beschrieben. In den Schritten wird beschrieben, wie dies mit Amazon S3 als Feedquelltyp oder optional Amazon S3 mit Amazon SQS als Feedquelltyp funktioniert.

AWS CloudTrail und S3 konfigurieren

In diesem Verfahren konfigurieren Sie AWS CloudTrail-Logs so, dass sie in einen S3-Bucket geschrieben werden.

Suchen Sie in der AWS-Konsole nach CloudTrail.
Klicken Sie auf Weg erstellen.
Geben Sie einen Namen für den Weg an.
Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
Geben Sie einen Namen für AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS-KMS-Schlüssel aus.
Sie können die anderen Einstellungen als Standardeinstellungen beibehalten und auf Weiter klicken.
Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Pfad erstellen.
Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn zur Verwendung in den folgenden Schritten.

SQS-Warteschlange erstellen

Optional können Sie eine SQS-Warteschlange verwenden. Wenn Sie eine SQS-Warteschlange verwenden, muss es sich um eine Standard-Warteschlange handeln, nicht um eine FIFO-Warteschlange.

Weitere Informationen zum Erstellen von SQS-Warteschlangen finden Sie unter Erste Schritte mit Amazon SQS.

Benachrichtigungen für die SQS-Warteschlange einrichten

Wenn Sie eine SQS-Warteschlange verwenden, richten Sie Benachrichtigungen für Ihren S3-Bucket ein, um in die SQS-Warteschlange zu schreiben. Vergessen Sie nicht, eine Zugriffsrichtlinie anzuhängen.

AWS IAM-Nutzer konfigurieren

Konfigurieren Sie einen AWS IAM-Nutzer, den Google Security Operations für den Zugriff auf die SQS-Warteschlange (falls verwendet) und den S3-Bucket verwendet.

Suchen Sie in der AWS-Konsole nach IAM.
Klicken Sie auf Nutzer und dann auf dem folgenden Bildschirm auf Nutzer hinzufügen.
Geben Sie einen Namen für den Nutzer an, z.B. chronicle-feed-user, wählen Sie AWS-Anmeldedatentyp als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.
Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Logs löschen soll, um die AWS S3-Speicherkosten zu optimieren.
Als Alternative zum vorherigen Schritt können Sie den Zugriff auf den angegebenen S3-Bucket weiter einschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
Wenn du eine Richtlinie anwendest, musst du sqs:DeleteMessage angeben. Google Security Operations kann keine Nachrichten löschen, wenn die Berechtigung sqs:DeleteMessage nicht an die SQS-Warteschlange angehängt ist. Alle Nachrichten werden auf AWS-Seite akkumuliert. Dies führt zu einer Verzögerung, da Google Security Operations wiederholt versucht, dieselben Dateien zu übertragen.
Klicken Sie auf Next:Tags.
Fügen Sie gegebenenfalls Tags hinzu und klicken Sie auf Weiter:Überprüfen.
Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für die Verwendung im nächsten Schritt.

Feed erstellen

Nachdem Sie die oben beschriebenen Schritte ausgeführt haben, erstellen Sie einen Feed, um AWS-Logs aus Ihrem Amazon S3-Bucket in Ihre Google Security Operations-Instanz aufzunehmen. Wenn Sie auch eine SQS-Warteschlange verwenden, wählen Sie im folgenden Verfahren Amazon SQS als Quelltyp anstelle von Amazon S3 aus.

So erstellen Sie einen Feed:

Klicken Sie in der Navigationsleiste auf Einstellungen, SIEM-Einstellungen und dann auf Feeds.
Klicken Sie auf der Seite Feeds auf Neu hinzufügen.
Wählen Sie im Dialogfeld Feed hinzufügen im Dialogfeld Quelltyp entweder Amazon S3 oder Amazon SQS aus.
Wählen Sie im Menü Logtyp die Option AWS CloudTrail (oder einen anderen AWS-Dienst) aus.
Klicken Sie auf Weiter.
Geben Sie die Eingabeparameter für Ihren Feed in die Felder ein.

Wenn der Quelltyp Amazon S3 ist:
1. Wählen Sie Region aus und geben Sie den S3-URI des Amazon S3-Buckets an, den Sie zuvor kopiert haben. Außerdem können Sie den S3-URI wie im folgenden Beispiel anhängen:
```
    {{datetime("yyyy/MM/dd")}}

    
```
  Wie im folgenden Beispiel werden Logs von Google Security Operations jeweils nur an einem bestimmten Tag gescannt:
```
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

    
```
2. Wählen Sie für URI IS A die Option Directories einschließlich Unterverzeichnisse aus. Wählen Sie unter Option zum Löschen der Quelle eine geeignete Option aus. Diese sollten mit den Berechtigungen des zuvor erstellten IAM-Nutzerkontos übereinstimmen.
3. Geben Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des IAM-Nutzerkontos an, das Sie zuvor erstellt haben.
Klicken Sie auf Weiter und Fertigstellen.

Detaillierte Schritte zum Aufnehmen von Logs aus S3

AWS CloudTrail (oder einen anderen Dienst) konfigurieren

Führen Sie die folgenden Schritte aus, um AWS CloudTrail-Logs zu konfigurieren und festzulegen, dass diese Logs in den AWS S3-Bucket geschrieben werden, der im vorherigen Verfahren erstellt wurde:

Suchen Sie in der AWS-Konsole nach CloudTrail.
Klicken Sie auf Weg erstellen.
Geben Sie einen Namen für den Weg an.
Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
Geben Sie einen Namen für AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS-KMS-Schlüssel aus.
Sie können die anderen Einstellungen als Standardeinstellungen beibehalten und auf Weiter klicken.
Wählen Sie Ereignistyp aus, fügen Sie nach Bedarf Datenereignisse hinzu und klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen unter Prüfen und erstellen und klicken Sie auf Pfad erstellen.
Suchen Sie in der AWS-Konsole nach Amazon S3-Buckets.
Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs. Klicken Sie dann auf S3-URI kopieren und speichern Sie ihn zur Verwendung in den folgenden Schritten.

AWS IAM-Nutzer konfigurieren

In diesem Schritt konfigurieren wir einen AWS IAM-Nutzer, den Google Security Operations zum Abrufen von Logfeeds von AWS verwendet.

Suchen Sie in der AWS-Konsole nach IAM.
Klicken Sie auf Nutzer und dann auf dem folgenden Bildschirm auf Nutzer hinzufügen.
Geben Sie einen Namen für den Nutzer an, z.B. chronicle-feed-user, wählen Sie AWS-Anmeldedatentyp als Zugriffsschlüssel – Programmatischer Zugriff aus und klicken Sie auf Weiter: Berechtigungen.
Wählen Sie im nächsten Schritt Vorhandene Richtlinien direkt anhängen und nach Bedarf AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus. AmazonS3FullAccess wird verwendet, wenn Google Security Operations die S3-Buckets nach dem Lesen von Logs löschen soll, um die AWS S3-Speicherkosten zu optimieren. Klicken Sie auf Next:Tags.
Als Alternative zum vorherigen Schritt können Sie den Zugriff auf den angegebenen S3-Bucket weiter einschränken, indem Sie eine benutzerdefinierte Richtlinie erstellen. Klicken Sie auf Richtlinie erstellen und folgen Sie der AWS-Dokumentation, um eine benutzerdefinierte Richtlinie zu erstellen.
Fügen Sie gegebenenfalls Tags hinzu und klicken Sie auf Weiter:Überprüfen.
Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers für die Verwendung im nächsten Schritt.

Feed in Google Security Operations konfigurieren, um AWS-Logs aufzunehmen

Rufen Sie die Google Security Operations-Einstellungen auf und klicken Sie auf Feeds.
Klicken Sie auf Add New (Neu hinzufügen).
Wählen Sie als Source Type (Quelltyp) Amazon S3 aus.
Wählen Sie AWS CloudTrail (oder einen anderen AWS-Dienst) als Log Type (Logtyp) aus.

Klicken Sie auf Weiter.
Wählen Sie Region aus und geben Sie den S3-URI des Amazon S3-Buckets an, den Sie zuvor kopiert haben. Außerdem könnten Sie den S3-URI wie folgt anhängen:
```
{{datetime("yyyy/MM/dd")}}
```
Wie im folgenden Beispiel, sodass Google Security Operations Protokolle jedes Mal nur für einen bestimmten Tag scannt:
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
```
Wählen Sie unter URI IST A die Option Verzeichnisse einschließlich Unterverzeichnisse aus. Wählen Sie unter Source Deletion Option (Option zum Löschen der Quelle) eine geeignete Option aus. Sie sollte mit den Berechtigungen des zuvor erstellten IAM-Nutzerkontos übereinstimmen.
Geben Sie die Access Key ID (Zugriffsschlüssel-ID) und den Secret Access Key (geheimer Zugriffsschlüssel) für das zuvor erstellte IAM-Nutzerkonto an.
Klicken Sie auf Weiter und Fertigstellen.

Schritte zum Aufnehmen von AWS-Kontextdaten

Wenn Sie Kontextdaten über AWS-Entitäten wie Hosts, Instanzen und Nutzer aufnehmen möchten, erstellen Sie einen Feed für jeden der folgenden Logtypen, die nach Beschreibung und Aufnahmelabel aufgelistet sind:

AWS EC2-HOSTS (AWS_EC2_HOSTS)
AWS EC2-INSTANZEN (AWS_EC2_INSTANCES)
AWS EC2-VPCS (AWS_EC2_VPCS)
AWS Identity and Access Management (IAM) (AWS_IAM)

So erstellen Sie einen Feed für jeden der oben aufgeführten Protokolltypen:

Klicken Sie in der Navigationsleiste auf Einstellungen, SIEM-Einstellungen und dann auf Feeds.
Klicken Sie auf der Seite Feeds auf Neu hinzufügen. Das Dialogfeld Feed hinzufügen wird angezeigt.
Wählen Sie im Menü Quelltyp die Option Third Party API aus.
Wählen Sie im Menü Logtyp die Option AWS EC2-Hosts aus.
Klicken Sie auf Weiter.
Geben Sie die Eingabeparameter für den Feed in die Felder ein.
Klicken Sie auf Weiter und dann auf Fertigstellen.

Ausführliche Informationen zum Einrichten eines Feeds für jeden Protokolltyp finden Sie in der folgenden Dokumentation zur Feedverwaltung:

Allgemeine Informationen zum Erstellen eines Feeds finden Sie im Nutzerhandbuch zur Feedverwaltung und in der Feed Management API.