Transfiere registros de AWS a Google Security Operations
En este documento, se detallan los pasos para configurar la transferencia de registros de AWS CloudTrail y datos de contexto a Google Security Operations. Estos pasos también se aplican a transferir registros de otros servicios de AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch y AWS Security Hub.
Para transferir los registros de eventos, la configuración dirige los registros de CloudTrail a una Bucket de Amazon Simple Storage Service (Amazon S3), opcionalmente con un Amazon Cola de Simple Queue Service (Amazon SQS). Si se usa una cola de Amazon SQS, Google Security Operations lee las notificaciones de Amazon S3 que se envían a Amazon. en la cola de SQS y extrae los archivos correspondientes del bucket de Amazon S3. Este es es efectivamente una versión basada en envíos de un feed de Amazon S3 y se puede usar para a lograr una mejor capacidad de procesamiento.
En la primera parte de este documento, se proporcionan pasos concisos para usar Amazon S3 como el tipo de fuente de feeds o, de manera opcional, usar Amazon S3 con Amazon SQS como el tipo de fuente de feeds. La segunda parte proporciona pasos más detallados con capturas de pantalla para usando Amazon S3 como el tipo de fuente del feed. El uso de Amazon SQS no se aborda en el la segunda parte. La tercera parte proporciona información sobre cómo transferir el contexto de AWS datos sobre hosts, servicios, redes de VPC y usuarios.
Pasos básicos para transferir registros de S3 o S3 con SQS
En esta sección, se describen los pasos básicos para transferir registros de AWS CloudTrail a tu instancia de Google Security Operations. En los pasos, se describe cómo hacerlo usando Amazon S3 como el tipo de fuente del feed o, opcionalmente, Amazon S3 con Amazon SQS como el tipo de fuente del feed.
Configura CloudTrail de AWS y S3
En este procedimiento, configurarás los registros de AWS CloudTrail para que se escriban en un bucket de S3.
- En la consola de AWS, busca CloudTrail.
- Haz clic en Crear recorrido.
- Proporciona un Nombre de sendero.
- Selecciona Crear bucket de S3. También puedes usar un bucket de S3 existente.
- Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
- Puedes dejar los demás parámetros de configuración con su valor predeterminado y hacer clic en Siguiente.
- Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.
- Revisa la configuración en Revisar y crear y haz clic en Crear registro.
- En la consola de AWS, busca Buckets de Amazon S3.
- Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar URI de S3 y guárdalo para usarlo en los siguientes pasos.
Crear una cola de SQS
De manera opcional, puedes usar una cola de SQS. Si usas una cola de SQS, debe ser una cola estándar, no una cola FIFO.
Para obtener detalles sobre cómo crear colas de SQS, consulta Comienza a usar Amazon SQS.
Configurar las notificaciones para la cola de SQS
Si usas una cola de SQS, configura las notificaciones en tu bucket de S3 para escribir en tu cola de SQS. Asegúrate de adjuntar una política de acceso.
Configura el usuario de IAM de AWS
Configura un usuario de IAM de AWS que Google Security Operations utilizará para acceder a la cola de SQS (si se utiliza) y al bucket de S3.
- En la consola de AWS, busca IAM.
- Haz clic en Usuarios y, luego, en la siguiente pantalla, haz clic en Agregar usuarios.
- Proporciona un nombre para el usuario, por ejemplo, chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.
- En el siguiente paso, selecciona Adjuntar las políticas existentes de forma directa y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usaría AmazonS3FullAccess si Google Security Operations debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de S3 de AWS.
- Como alternativa recomendada al paso anterior, puedes restringir aún más el acceso solo al bucket de S3 especificado si creas una política personalizada. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.
- Cuando apliques una política, asegúrate de haber incluido
sqs:DeleteMessage
. Google Security Operations no puede borrar mensajes si el permisosqs:DeleteMessage
no está adjunto a la cola de SQS. Todos los mensajes se acumulan en en AWS, lo que provoca un retraso, ya que Google Security Operations intenta transferir de forma reiterada los mismos archivos. - Haz clic en Siguiente: Etiquetas.
- Si es necesario, agrega etiquetas y haz clic en Siguiente: Revisión.
- Revisa la configuración y haz clic en Crear usuario.
- Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado para usarlos en el siguiente paso.
Crea el feed
Después de completar los procedimientos anteriores, crea un feed para transferir los registros de AWS de tu bucket de Amazon S3 a tu instancia de Google Security Operations. Si utilizas en una cola de SQS, en el siguiente procedimiento, selecciona Amazon SQS como el tipo de fuente en lugar de Amazon S3.
Para crear un feed, sigue estos pasos:
- En la barra de navegación, selecciona Configuración > Configuración del SIEM y, luego, Feeds.
- En la página Feeds, haz clic en Add New.
- En el cuadro de diálogo Agregar feed, usa el cuadro de diálogo Tipo de fuente para seleccionar Amazon S3 o Amazon SQS.
- En el menú Tipo de registro, selecciona AWS CloudTrail (o algún otro servicio de AWS).
- Haz clic en Siguiente.
Ingresa los parámetros de entrada para tu feed en los campos correspondientes.
Si el tipo de fuente es Amazon S3, haz lo siguiente:Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste anteriormente. También puedes adjuntar el URI de S3 usando la variable.
En el siguiente ejemplo, Google Security Operations analiza los registros cada vez solo para un día en particular.{{datetime("yyyy/MM/dd")}}
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
En URI IS A, selecciona Directories including subdirectorios. Seleccionar una opción adecuada en Opción de eliminación de la fuente. Asegúrate de que coincida con los permisos de la cuenta de usuario de IAM que creaste antes.
Proporciona el ID de clave de acceso y la clave de acceso secreta de la cuenta de usuario de IAM que creaste antes.
Haz clic en Siguiente (Next) y Finalizar (Finish).
Pasos detallados para transferir registros de S3
Configura AWS CloudTrail (o algún otro servicio)
Completa los siguientes pasos para configurar los registros de AWS CloudTrail y solicitar que se escriban en el bucket S3 de AWS creado en el procedimiento anterior:
- En la consola de AWS, busca CloudTrail.
Haz clic en Crear sendero.
Proporciona un Nombre de sendero.
Selecciona Crear bucket de S3. También puedes usar un bucket de S3 existente.
Proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS existente.
Puedes dejar los demás parámetros de configuración con su valor predeterminado y hacer clic en Siguiente.
Elige Tipo de evento, agrega Eventos de datos según sea necesario y haz clic en Siguiente.
Revisa la configuración en Revisar y crear y haz clic en Crear registro.
En la consola de AWS, busca Buckets de Amazon S3.
Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs. Luego, haz clic en Copiar URI de S3 y guárdalo para usarlo en los siguientes pasos.
Configura el usuario de IAM de AWS
En este paso, configuraremos un usuario de IAM de AWS que Google Security Operations utilizará para obtener feeds de registros desde AWS.
En la consola de AWS, busca IAM.
Haz clic en Usuarios y, luego, en la siguiente pantalla, haz clic en Agregar usuarios.
Proporciona un nombre para el usuario, p.ej., chronicle-feed-user, Selecciona el tipo de credencial de AWS como Clave de acceso - Acceso programático y haz clic en Siguiente: Permisos.
En el siguiente paso, selecciona Adjuntar las políticas existentes de forma directa y elige AmazonS3ReadOnlyAccess o AmazonS3FullAccess, según sea necesario. Se usaría AmazonS3FullAccess si Google Security Operations debe borrar los buckets de S3 después de leer los registros para optimizar los costos de almacenamiento de S3 de AWS. Haz clic en Siguiente:Etiquetas.
Como alternativa recomendada al paso anterior, puedes restringir aún más el acceso solo al bucket de S3 especificado mediante la creación de una política personalizada. Haz clic en Crear política y sigue la documentación de AWS para crear una política personalizada.
Si es necesario, agrega etiquetas y haz clic en Siguiente: Revisión.
Revisa la configuración y haz clic en Crear usuario.
Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado para usarlos en el siguiente paso.
Configura el feed en Google Security Operations para transferir registros de AWS
- Ve a la configuración de Google Security Operations y haz clic en Feeds.
- Haz clic en Agregar nuevo.
- Selecciona Amazon S3 en Tipo de fuente.
- Selecciona AWS CloudTrail (o cualquier otro servicio de AWS) en Tipo de registro.
- Haz clic en Siguiente.
Selecciona la región y proporciona el URI de S3 del bucket de Amazon S3 que copiaste antes. Además, puedes agregar el URI de S3 con lo siguiente:
{{datetime("yyyy/MM/dd")}}
Como en el siguiente ejemplo, para que Google Security Operations analice los registros cada vez solo durante un día en particular:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
En URI IS A, selecciona Directories including subdirectorios. Selecciona una opción adecuada en Source Deletion Option. Esta debe coincidir con los permisos de la cuenta de usuario de IAM que creamos antes.
Proporciona el ID de clave de acceso y la clave de acceso secreta de la cuenta de usuario de IAM que creamos anteriormente.
Haz clic en Siguiente y Finalizar.
Pasos para transferir datos del contexto de AWS
Para transferir datos de contexto sobre entidades de AWS (como hosts, instancias y usuarios), crea un feed para cada uno de los siguientes tipos de registros, enumerados por descripción y transferencia etiqueta:
- AWS EC2 HOSTS (
AWS_EC2_HOSTS
) - INSTANCIAS DE AWS EC2 (
AWS_EC2_INSTANCES
) - VPC de AWS EC2 (
AWS_EC2_VPCS
) - AWS Identity and Access Management (IAM) (
AWS_IAM
)
Para crear un feed para cada tipo de registro que se mencionó anteriormente, haz lo siguiente:
- En la barra de navegación, selecciona Configuración, Configuración del SIEM y, luego, Feeds.
- En la página Feeds, haz clic en Add New. Aparecerá el diálogo Agregar feed.
- En el menú Tipo de fuente, selecciona API de terceros.
- En el menú Tipo de registro, selecciona Hosts de AWS EC2.
- Haz clic en Siguiente.
- Ingresa los parámetros de entrada del feed en los campos.
- Haz clic en Siguiente y, luego, en Finalizar.
Para obtener información más detallada sobre cómo configurar un feed para cada tipo de registro, consulta la siguiente documentación sobre la administración de feeds:
- AWS EC2 HOSTS (
AWS_EC2_HOSTS
) - INSTANCIAS DE AWS EC2 (
AWS_EC2_INSTANCES
) - VPC de AWS EC2 (
AWS_EC2_VPCS
) - Administración de Identity and Access Management (IAM) (
AWS_IAM
)
Para obtener información general sobre cómo crear un feed, consulta la guía del usuario de la administración de feeds o la API de administración de feeds.