Ingerir registros da AWS no Google Security Operations
Este documento detalha as etapas para configurar a ingestão de registros do AWS CloudTrail e dados de contexto no Google Security Operations. Essas etapas também se aplicam a Ingestão de registros de outros serviços da AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.
Para processar os registros de eventos, a configuração direciona os registros do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), usando uma fila do Amazon Simple Queue Service (Amazon SQS, na sigla em inglês). Se uma fila do Amazon SQS for usada, O Google Security Operations lê as notificações do Amazon S3 enviadas à SQS e extrai os arquivos correspondentes do bucket do Amazon S3. Isso é efetivamente uma versão baseada em push de um feed do Amazon S3 e pode ser usada para a capacidade de processamento.
A primeira parte deste documento apresenta etapas concisas para usar o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usar o Amazon S3 com o Amazon SQS como o feed tipo de origem. A segunda parte fornece etapas mais detalhadas com capturas de tela para usar o Amazon S3 como o tipo de origem do feed. O uso do Amazon SQS não é abordado nos a segunda parte. A terceira parte fornece informações sobre como ingerir dados de contexto da AWS sobre hosts, serviços, redes VPC e usuários.
Etapas básicas para ingerir registros do S3 ou do S3 com o SQS
Esta seção descreve as etapas básicas para ingerir registros do AWS CloudTrail na instância do Google Security Operations. As etapas descrevem como fazer isso usando o Amazon S3 como o tipo de origem do feed ou, opcionalmente, o Amazon S3 com o Amazon SQS como o tipo de origem do feed.
Configurar o AWS CloudTrail e o S3
Neste procedimento, você configura os registros do AWS CloudTrail para serem gravados em um bucket do S3.
- No console da AWS, pesquise CloudTrail.
- Clique em Criar trilha.
- Forneça um Nome da trilha.
- Selecione Criar bucket do S3. Também é possível usar um bucket atual do S3.
- Informe um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
- Deixe as outras configurações como padrão e clique em Próxima.
- Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
- Revise as configurações em Revisar e criar e clique em Criar trilha.
- No console da AWS, pesquise Buckets do Amazon S3.
- Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.
Criar uma fila do SQS
Você também pode usar uma fila do SQS. Se você usar uma fila SQS, ela precisará ser uma fila Padrão, não uma fila FIFO.
Para detalhes sobre como criar filas do SQS, consulte Introdução ao Amazon SQS.
Configurar notificações na fila do SQS
Se você usar uma fila do SQS, configure notificações no bucket do S3 para gravar na fila do SQS. Anexe uma política de acesso.
Configurar usuário do IAM da AWS
Configure um usuário do AWS IAM que o Google Security Operations vai usar para acessar a fila do SQS (se usada) e o bucket S3.
- No console da AWS, pesquise IAM.
- Clique em Usuários e, na tela seguinte, em Adicionar usuários.
- Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.
- Na próxima etapa, selecione Anexar políticas atuais diretamente e selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess seria usado se as operações de segurança do Google precisassem limpar os buckets do S3 depois de ler os registros para otimizar os custos de armazenamento do S3 da AWS.
- Como alternativa recomendada à etapa anterior, você pode restringir ainda mais o acesso apenas ao bucket do S3 especificado criando uma política personalizada. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
- Ao aplicar uma política, verifique se você incluiu
sqs:DeleteMessage
. As Operações de segurança do Google não poderão excluir mensagens se asqs:DeleteMessage
não está anexada à fila SQS. Todas as mensagens são acumuladas no lado da AWS, o que causa um atraso, já que as Operações de segurança do Google tentam transferir os mesmos arquivos repetidamente. - Clique em Próxima: tags.
- Adicione tags, se necessário, e clique em Próxima: analisar.
- Revise a configuração e clique em Criar usuário.
- Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.
Criar o feed
Depois de concluir os procedimentos anteriores, crie um feed para transferir os registros da AWS do bucket do Amazon S3 para a instância do Google Security Operations. Se você estiver usando uma fila do SQS, selecione Amazon SQS como tipo de origem no procedimento a seguir, em vez de Amazon S3.
Para criar um feed:
- Na barra de navegação, selecione Configurações > Configurações de SIEM e, em seguida, Feeds.
- Na página Feeds, clique em Adicionar novo.
- Na caixa de diálogo Adicionar feed, use a caixa de diálogo Tipo de origem para selecionar Amazon S3 ou Amazon SQS.
- No menu Tipo de registro, selecione AWS CloudTrail (ou outro serviço da AWS).
- Clique em Próxima.
Insira os parâmetros de entrada do seu feed nos campos.
Se o tipo de origem for Amazon S3, faça o seguinte:Selecione a região e informe o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Também é possível anexar o URI do S3 usando a variável.
No exemplo a seguir, as Operações de segurança do Google verificam os registros apenas de um dia específico.{{datetime("yyyy/MM/dd")}}
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
Em O URI É A, selecione Diretórios incluindo subdiretórios. Selecione uma opção adequada em Opção de exclusão da origem. Verifique se ele corresponde da conta de usuário do IAM que você criou anteriormente.
Informe o ID da chave de acesso e a chave de acesso secreta da conta de usuário do IAM que você criou anteriormente.
Clique em Próximo e em Concluir.
Etapas detalhadas para ingerir registros do S3
Configurar o AWS CloudTrail (ou outro serviço)
Conclua as etapas a seguir para configurar os registros do AWS CloudTrail e fazer com que eles sejam gravados no bucket do AWS S3 criado no procedimento anterior:
- No console da AWS, pesquise CloudTrail.
Clique em Criar trilha.
Informe o nome do percurso.
Selecione Criar bucket do S3. Também é possível usar um bucket atual do S3.
Informe um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
Deixe as outras configurações como padrão e clique em Próxima.
Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
Revise as configurações em Revisar e criar e clique em Criar trilha.
No console da AWS, pesquise buckets S3 do Amazon.
Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.
Configurar o usuário do AWS IAM
Nesta etapa, vamos configurar um usuário do AWS IAM que o Google Security Operations vai usar para receber feeds de registro da AWS.
No console da AWS, pesquise IAM.
Clique em Usuários e,na tela seguinte, clique em Adicionar usuários.
Forneça um nome para o usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.
Na próxima etapa, selecione Anexar políticas atuais diretamente e selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess seria usado se as operações de segurança do Google precisassem limpar os buckets do S3 depois de ler os registros para otimizar os custos de armazenamento do S3 da AWS. Clique em Próxima: tags.
Como alternativa recomendada à etapa anterior, você pode restringir ainda mais o acesso apenas ao bucket do S3 especificado criando uma política personalizada. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
Adicione as tags, se necessário, e clique em Próximo:revisão.
Revise a configuração e clique em Criar usuário.
Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado para usar na próxima etapa.
Configurar o feed no Google Security Operations para importar registros da AWS
- Acesse as configurações do Google Security Operations e clique em Feeds.
- Clique em Adicionar novo.
- Selecione Amazon S3 em Tipo de origem.
- Selecione AWS CloudTrail (ou outro serviço da AWS) em Tipo de registro.
- Clique em Próxima.
Selecione a região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, você pode anexar o URI do S3 com:
{{datetime("yyyy/MM/dd")}}
Como no exemplo a seguir, para que as Operações de segurança do Google verifiquem os registros a cada vez apenas para um dia específico:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
Em URI IS A, selecione Directories including subdirectories. Selecione uma opção adequada em Source Deletion Option,que deve corresponder às permissões da conta IAM User que criamos anteriormente.
Forneça o ID da chave de acesso e a Chave de acesso secreta da conta do usuário do IAM que criamos anteriormente.
Clique em Próxima e em Concluir.
Etapas para ingerir dados de contexto da AWS
Para ingerir dados de contexto sobre entidades da AWS (como hosts, instâncias e usuários), crie um feed para cada um dos seguintes tipos de registro, listados por descrição e rótulo de ingestão:
- HOSTS EC2 da AWS (
AWS_EC2_HOSTS
) - INSTÂNCIAS AWS EC2 (
AWS_EC2_INSTANCES
) - VPCs do AWS EC2 (
AWS_EC2_VPCS
) - Identity and Access Management (IAM) da AWS (
AWS_IAM
)
Para criar um feed para cada tipo de registro listado acima, faça o seguinte:
- Na barra de navegação, selecione Configurações, Configurações do SIEM e Feeds.
- Na página Feeds, clique em Adicionar novo. A caixa de diálogo Adicionar feed será exibida.
- No menu Tipo de origem, selecione API de terceiros.
- No menu Tipo de registro, selecione Hosts do AWS EC2.
- Clique em Próxima.
- Insira os parâmetros de entrada para o feed nos campos.
- Clique em Next e em Finish.
Para informações mais detalhadas sobre como configurar um feed para cada tipo de registro, consulte a seguinte documentação de gerenciamento de feeds:
- HOSTS EC2 da AWS (
AWS_EC2_HOSTS
) - INSTÂNCIAS DA AWS EC2 (
AWS_EC2_INSTANCES
) - AWS EC2 VPCs (
AWS_EC2_VPCS
) - Identity and Access Management (IAM) da AWS (
AWS_IAM
)
Para obter informações gerais sobre como criar um feed, consulte Guia do usuário sobre gerenciamento de feed ou API de gerenciamento de feed.