Transfiere registros de AWS a Google Security Operations

En este documento, se detallan los pasos para configurar la transferencia de datos de contexto y registros de AWS CloudTrail a Google Security Operations. Estos pasos también se aplican a la transferencia de registros desde otros servicios de AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch y AWS Security Hub.

Para transferir registros de eventos, la configuración dirige los registros de CloudTrail a un bucket de Amazon Simple Storage Service (Amazon S3), de manera opcional con una cola de Amazon Simple Queue Service (Amazon SQS). Si se usa una cola de Amazon SQS, Google Security Operations lee las notificaciones de Amazon S3 que se envían a la cola de Amazon SQS y extrae los archivos correspondientes del bucket de Amazon S3. Efectivamente, esta es una versión basada en envíos de un feed de Amazon S3 y se puede usar para lograr una mejor capacidad de procesamiento.

En la primera parte de este documento, se proporcionan pasos concisos para usar Amazon S3 como el tipo de fuente del feed o, de forma opcional, para usar Amazon S3 con Amazon SQS como el tipo de fuente del feed. La segunda parte proporciona pasos más detallados con capturas de pantalla para usar Amazon S3 como el tipo de fuente del feed. En la segunda parte no se describe el uso de Amazon SQS. La tercera parte proporciona información sobre cómo transferir datos de contexto de AWS sobre hosts, servicios, redes de VPC y usuarios.

Pasos básicos para transferir registros de S3 o S3 con SQS

En esta sección, se describen los pasos básicos para transferir los registros de AWS CloudTrail a tu instancia de Google Security Operations. En los pasos, se describe cómo hacerlo usando Amazon S3 como el tipo de fuente del feed o, opcionalmente, Amazon S3 con Amazon SQS como el tipo de fuente del feed.

Configura CloudTrail de AWS y S3

En este procedimiento, configurarás los registros de AWS CloudTrail para que se escriban en un bucket de S3.

  1. En la consola de AWS, busca CloudTrail.
  2. Haz clic en Crear recorrido.
  3. Proporciona un Nombre de sendero.
  4. Selecciona Crear nuevo bucket de S3. También puedes optar por usar un bucket de S3 existente.
  5. Proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS existente.
  6. Puedes dejar el resto de la configuración con sus valores predeterminados y hacer clic en Siguiente.
  7. Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.
  8. Revisa la configuración en Revisar y crear y haz clic en Crear registro.
  9. En la consola de AWS, busca Buckets de Amazon S3.
  10. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar URI de S3 y guárdalo para usarlo en los siguientes pasos.

Crear una cola de SQS

De forma opcional, puedes usar una cola de SQS. Si usas una cola de SQS, debe ser una cola estándar, no una cola FIFO.

Para obtener detalles sobre cómo crear colas de SQS, consulta Comienza a usar Amazon SQS.

Configurar las notificaciones para la cola de SQS

Si usas una cola de SQS, configura las notificaciones en tu bucket de S3 para escribir en la cola de SQS. Asegúrate de adjuntar una política de acceso.

Configura el usuario de IAM de AWS

Configura un usuario de IAM de AWS que Google Security Operations utilizará para acceder a la cola de SQS (si se utiliza) y al bucket de S3.

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios y, luego, en la siguiente pantalla, haz clic en Agregar usuarios.
  3. Proporciona un nombre para el usuario, p.ej., chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.
  4. En el siguiente paso, selecciona Adjuntar las políticas existentes directamente y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usaría AmazonS3FullAccess si Google Security Operations debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de AWS S3.
  5. Como alternativa recomendada al paso anterior, puedes restringir aún más el acceso solo al bucket de S3 especificado mediante la creación de una política personalizada. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.
  6. Cuando apliques una política, asegúrate de haber incluido sqs:DeleteMessage. Google Security Operations no puede borrar mensajes si el permiso sqs:DeleteMessage no está adjunto a la cola de SQS. Todos los mensajes se acumulan en el lado de AWS, lo que provoca un retraso, ya que Google Security Operations intenta transferir los mismos archivos varias veces.
  7. Haz clic en Siguiente:Etiquetas.
  8. Si es necesario, agrega las etiquetas y haz clic en Siguiente:Revisar.
  9. Revisa la configuración y haz clic en Crear usuario.
  10. Copia el ID de clave de acceso y la Clave de acceso secreta del usuario creado para usarlos en el siguiente paso.

Crea el feed

Después de completar los procedimientos anteriores, crea un feed para transferir los registros de AWS de tu bucket de Amazon S3 a tu instancia de Google Security Operations. Si también utilizas una cola de SQS, en el siguiente procedimiento, selecciona Amazon SQS como el tipo de fuente en lugar de Amazon S3.

Para crear un feed, sigue estos pasos:

  1. En la barra de navegación, selecciona Configuración, Configuración del SIEM y, luego, Feeds.
  2. En la página Feeds, haz clic en Agregar nuevo.
  3. En el cuadro de diálogo Agregar feed, usa el diálogo Tipo de fuente para seleccionar Amazon S3 o Amazon SQS.
  4. En el menú Tipo de registro, selecciona AWS CloudTrail (o algún otro servicio de AWS).
  5. Haz clic en Siguiente.
  6. Ingresa los parámetros de entrada de tu feed en los campos correspondientes.

    Si el tipo de fuente es Amazon S3:
    1. Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste antes. Además, puedes agregar el URI de S3 con lo siguiente:
      
    {{datetime("yyyy/MM/dd")}}
      Como en el siguiente ejemplo, para que Google Security Operations analice los registros cada vez solo durante un día en particular: 
      
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
    2. En URI IS A, selecciona Directories including subdirectorios. Selecciona una opción adecuada en Opción de eliminación de la fuente. Esto debería coincidir con los permisos de la cuenta de usuario de IAM que creaste anteriormente.
    3. Proporciona el ID de clave de acceso y la clave de acceso secreta de la cuenta de usuario de IAM que creaste antes.

  7. Haz clic en Siguiente (Next) y Finalizar (Finish).

Pasos detallados para transferir registros de S3

Configura AWS CloudTrail (o algún otro servicio)

Completa los siguientes pasos para configurar los registros de AWS CloudTrail y solicitar que se escriban en el bucket S3 de AWS creado en el procedimiento anterior:

  1. En la consola de AWS, busca CloudTrail.

  2. Haz clic en Crear recorrido.

    alt_text

  3. Proporciona un Nombre de sendero.

  4. Selecciona Crear nuevo bucket de S3. También puedes optar por usar un bucket de S3 existente.

  5. Proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS existente.

    alt_text

  6. Puedes dejar el resto de la configuración con sus valores predeterminados y hacer clic en Siguiente.

  7. Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.

    alt_text

  8. Revisa la configuración en Revisar y crear y haz clic en Crear registro.

  9. En la consola de AWS, busca Buckets de Amazon S3.

    alt_text

  10. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar URI de S3 y guárdalo para usarlo en los siguientes pasos.

    alt_text

Configura el usuario de IAM de AWS

En este paso, configuraremos un usuario de IAM de AWS que Google Security Operations utilizará para obtener feeds de registros desde AWS.

  1. En la consola de AWS, busca IAM.

    alt_text

  2. Haz clic en Usuarios y, luego, en la siguiente pantalla, haz clic en Agregar usuarios.

    alt_text

  3. Proporciona un nombre para el usuario, p.ej., chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.

    alt_text

  4. En el siguiente paso, selecciona Adjuntar las políticas existentes directamente y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usaría AmazonS3FullAccess si Google Security Operations debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de AWS S3. Haz clic en Siguiente:Etiquetas.

    alt_text

  5. Como alternativa recomendada al paso anterior, puedes restringir aún más el acceso solo al bucket de S3 especificado mediante la creación de una política personalizada. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.

    alt_text

  6. Si es necesario, agrega las etiquetas y haz clic en Siguiente:Revisar.

  7. Revisa la configuración y haz clic en Crear usuario.

    alt_text

  8. Copia el ID de clave de acceso y la Clave de acceso secreta del usuario creado para usarlos en el siguiente paso.

    alt_text

Configura el feed en Google Security Operations para transferir registros de AWS

  1. Ve a la configuración de Google Security Operations y haz clic en Feeds.
  2. Haz clic en Agregar nuevo.
  3. En Tipo de fuente, selecciona Amazon S3.
  4. En Tipo de registro, selecciona AWS CloudTrail (o algún otro servicio de AWS).

alt_text

  1. Haz clic en Siguiente.

  2. Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste antes. Además, puedes adjuntar el URI de S3 con lo siguiente:

    
{{datetime("yyyy/MM/dd")}}

    Como en el siguiente ejemplo, para que Google Security Operations analice los registros cada vez solo durante un día en particular:

    
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

  3. En URI IS A, selecciona Directories including subdirectorios. Selecciona una opción adecuada en Opción de eliminación de fuente,que debería coincidir con los permisos de la cuenta de Usuario de IAM que creamos anteriormente.

  4. Proporciona el ID de clave de acceso y la clave de acceso secreta de la cuenta de usuario de IAM que creamos anteriormente. alt_text

  5. Haz clic en Next y Finish.

Pasos para transferir datos del contexto de AWS

Para transferir datos de contexto sobre entidades de AWS (como hosts, instancias y usuarios), crea un feed para cada uno de los siguientes tipos de registros, enumerados por descripción y etiqueta de transferencia:

  • HOSTS de AWS EC2 (AWS_EC2_HOSTS)
  • INSTANCIAS DE AWS EC2 (AWS_EC2_INSTANCES)
  • VPC de AWS EC2 (AWS_EC2_VPCS)
  • AWS Identity and Access Management (IAM) (AWS_IAM)

Para crear un feed para cada tipo de registro mencionado anteriormente, haz lo siguiente:

  1. En la barra de navegación, selecciona Configuración, Configuración del SIEM y, luego, Feeds.
  2. En la página Feeds, haz clic en Agregar nuevo. Aparecerá el diálogo Agregar feed.
  3. En el menú Tipo de fuente, selecciona API de terceros.
  4. En el menú Tipo de registro, selecciona Hosts de AWS EC2.
  5. Haz clic en Siguiente.
  6. Ingresa los parámetros de entrada para el feed en los campos correspondientes.
  7. Haz clic en Siguiente y, luego, en Finalizar.

Para obtener información más detallada sobre cómo configurar un feed para cada tipo de registro, consulta la siguiente documentación sobre la administración de feeds:

Para obtener información general sobre cómo crear un feed, consulta la Guía del usuario de administración de feeds o la API de administración de feeds.