Serap log AWS ke Chronicle

Dokumen ini menjelaskan langkah-langkah untuk mengonfigurasi penyerapan log AWS CloudTrail dan data konteks ke dalam Chronicle. Langkah-langkah ini juga berlaku untuk menyerap log dari layanan AWS lainnya, seperti AWS GuardDuty, AWS VPC Flow, AWS CloudWatch, dan AWS Security Hub.

Untuk menyerap log peristiwa, konfigurasi akan mengarahkan log CloudTrail ke bucket Amazon Simple Storage Service (Amazon S3), secara opsional menggunakan antrean Amazon Simple Queue Service (Amazon SQS). Jika antrean Amazon SQS digunakan, Chronicle akan membaca notifikasi Amazon S3 yang dikirim ke antrean Amazon SQS dan mengambil file yang sesuai dari bucket Amazon S3. Ini secara efektif adalah versi feed Amazon S3 berbasis push dan dapat digunakan untuk mencapai throughput yang lebih baik.

Bagian pertama dokumen ini menjelaskan langkah-langkah ringkas untuk menggunakan Amazon S3 sebagai jenis sumber feed atau, secara opsional, menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed. Bagian kedua menjelaskan langkah-langkah yang lebih detail dengan screenshot untuk menggunakan Amazon S3 sebagai jenis sumber feed. Penggunaan Amazon SQS tidak dibahas di bagian kedua. Bagian ketiga memberikan informasi tentang cara menyerap data konteks AWS tentang host, layanan, jaringan VPC, dan pengguna.

Langkah-langkah dasar untuk menyerap log dari S3 atau S3 dengan SQS

Bagian ini menjelaskan langkah-langkah dasar untuk menyerap log AWS CloudTrail ke dalam instance Chronicle. Langkah-langkah menjelaskan cara melakukannya dengan menggunakan Amazon S3 sebagai jenis sumber feed atau, secara opsional, menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed.

Mengonfigurasi AWS CloudTrail dan S3

Dalam prosedur ini, Anda mengonfigurasi log AWS CloudTrail untuk ditulis ke bucket S3.

Di konsol AWS, telusuri CloudTrail.
Klik Create jejak.
Beri Nama jalur.
Pilih Create new S3 bucket. Anda juga dapat memilih untuk menggunakan bucket S3 yang sudah ada.
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang sudah ada.
Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Next.
Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
Tinjau setelan di Tinjau dan buat, lalu klik Buat jalur.
Di konsol AWS, telusuri Amazon S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Copy S3 URI dan simpan untuk digunakan dalam langkah-langkah berikut.

Membuat antrean SQS

Anda juga dapat menggunakan antrean SQS. Jika Anda menggunakan antrean SQS, antrean tersebut harus berupa antrean Standar, bukan antrean FIFO.

Untuk mengetahui detail tentang cara membuat antrean SQS, lihat Mulai menggunakan Amazon SQS.

Menyiapkan notifikasi ke antrean SQS

Jika Anda menggunakan antrean SQS, siapkan notifikasi di bucket S3 untuk menulis ke antrean SQS. Pastikan untuk melampirkan kebijakan akses.

Mengonfigurasi pengguna IAM AWS

Konfigurasikan pengguna AWS IAM yang akan digunakan Chronicle untuk mengakses antrean SQS (jika digunakan) dan bucket S3.

Di konsol AWS, telusuri IAM.
Klik Pengguna, lalu di layar berikutnya, klik Tambahkan Pengguna.
Beri nama pengguna tersebut, misalnya chronicle-feed-user, Pilih jenis kredensial AWS sebagai Access key - Programmatic access, lalu klik Next: Permissions.
Pada langkah berikutnya, pilih Lampirkan kebijakan yang ada secara langsung, lalu pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Chronicle harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3.
Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat membatasi akses lebih lanjut hanya untuk bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
Saat menerapkan kebijakan, pastikan Anda telah menyertakan sqs:DeleteMessage. Chronicle tidak dapat menghapus pesan jika izin sqs:DeleteMessage tidak dilampirkan ke antrean SQS. Semua pesan diakumulasi di sisi AWS, yang menyebabkan penundaan karena Chronicle berulang kali mencoba mentransfer file yang sama.
Klik Berikutnya:Tag.
Tambahkan tag jika perlu, lalu klik Berikutnya:Tinjau.
Tinjau konfigurasi, lalu klik Create user.
Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat untuk digunakan di langkah berikutnya.

Membuat feed

Setelah menyelesaikan prosedur di atas, buat feed untuk menyerap log AWS dari bucket Amazon S3 ke dalam instance Chronicle. Jika Anda juga menggunakan antrean SQS, dalam prosedur berikut, pilih Amazon SQS untuk jenis sumber, bukan Amazon S3.

Untuk membuat feed:

Pada menu navigasi, pilih Settings, SIEM Settings, lalu Feeds
Pada halaman Feeds, klik Add New.
Pada dialog Add feed, gunakan dialog Source type untuk memilih Amazon S3 atau Amazon SQS.
Di menu Log Type, pilih AWS CloudTrail (atau layanan AWS lainnya).
Klik Next.
Masukkan parameter input untuk feed Anda pada kolom.

Jika jenis sumbernya adalah Amazon S3:
1. Pilih region dan masukkan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Selanjutnya, Anda dapat menambahkan URI S3 dengan:
```
    {{datetime("yyyy/MM/dd")}}

    
```
  Seperti pada contoh berikut, sehingga Chronicle akan memindai log setiap kali hanya untuk hari tertentu:
```
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

    
```
2. Untuk URI IS A, pilih Directories including subdirektori. Pilih opsi yang sesuai di bagian Opsi Penghapusan Sumber. Izin ini harus cocok dengan izin akun IAM User yang Anda buat sebelumnya.
3. Berikan ID Kunci Akses dan Kunci Akses Rahasia dari akun pengguna IAM yang Anda buat sebelumnya.
Klik Berikutnya dan Selesai.

Langkah-langkah mendetail untuk menyerap log dari S3

Mengonfigurasi AWS CloudTrail (atau layanan lainnya)

Selesaikan langkah-langkah berikut untuk mengonfigurasi log AWS CloudTrail dan mengarahkan log ini agar ditulis ke bucket AWS S3 yang dibuat di prosedur sebelumnya:

Di konsol AWS, telusuri CloudTrail.
Klik Create jejak.
Beri Nama jalur.
Pilih Create new S3 bucket. Anda juga dapat memilih untuk menggunakan bucket S3 yang sudah ada.
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang sudah ada.
Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Next.
Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
Tinjau setelan di Tinjau dan buat, lalu klik Buat jalur.
Di konsol AWS, telusuri Amazon S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Copy S3 URI dan simpan untuk digunakan dalam langkah-langkah berikut.

Mengonfigurasi Pengguna IAM AWS

Pada langkah ini, kita akan mengonfigurasi pengguna IAM AWS yang akan digunakan Chronicle untuk mendapatkan feed log dari AWS.

Di konsol AWS, telusuri IAM.
Klik Pengguna, lalu di layar berikutnya, klik Tambahkan Pengguna.
Beri nama pengguna tersebut, misalnya chronicle-feed-user, Pilih jenis kredensial AWS sebagai Access key - Programmatic access, lalu klik Next: Permissions.
Pada langkah berikutnya, pilih Lampirkan kebijakan yang ada secara langsung, lalu pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Chronicle harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3. Klik Berikutnya:Tag.
Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat membatasi akses lebih lanjut hanya untuk bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
Tambahkan tag jika perlu, lalu klik Berikutnya:Tinjau.
Tinjau konfigurasi, lalu klik Create user.
Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat untuk digunakan di langkah berikutnya.

Mengonfigurasi Feed di Chronicle untuk Menyerap Log AWS

Buka setelan Chronicle, lalu klik Feed.
Klik Add New.
Pilih Amazon S3 untuk Jenis Sumber.
Pilih AWS CloudTrail (atau layanan AWS lainnya) untuk Log Type.

Klik Berikutnya.
Pilih region dan masukkan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Selanjutnya, Anda dapat menambahkan URI S3 dengan:
```
{{datetime("yyyy/MM/dd")}}
```
Seperti pada contoh berikut, sehingga Chronicle akan memindai log setiap kali hanya untuk hari tertentu:
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
```
Di bagian URI IS A, pilih Directories including subdirektori. Pilih opsi yang sesuai di bagian Opsi Penghapusan Sumber, opsi ini harus sesuai dengan izin akun Pengguna IAM yang kita buat sebelumnya.
Berikan ID Kunci Akses dan Kunci Akses Rahasia dari akun Pengguna IAM yang kami buat sebelumnya.
Klik Berikutnya dan Selesai.

Langkah-langkah untuk menyerap data konteks AWS

Untuk menyerap data konteks tentang entity AWS (seperti host, instance, dan pengguna), buat feed untuk setiap jenis log berikut, yang dicantumkan menurut deskripsi dan label penyerapan:

HOST AWS EC2 (AWS_EC2_HOSTS)
INSTANCE AWS EC2 (AWS_EC2_INSTANCES)
VPC AWS EC2 (AWS_EC2_VPCS)
Pengelolaan Akses dan Identitas AWS (IAM) (AWS_IAM)

Untuk membuat feed bagi setiap jenis log yang tercantum di atas, lakukan hal berikut:

Pada menu navigasi, pilih Settings, SIEM Settings, lalu Feeds.
Pada halaman Feeds, klik Add New. Dialog Tambahkan feed akan muncul.
Di menu Source type, pilih Third party API.
Di menu Log Type, pilih AWS EC2 Hosts.
Klik Next.
Masukkan parameter input untuk feed pada kolom.
Klik Berikutnya, lalu Selesai.

Untuk mendapatkan informasi lebih mendetail tentang cara menyiapkan feed untuk setiap jenis log, lihat dokumentasi Pengelolaan feed berikut:

Untuk informasi umum tentang cara membuat feed, lihat Panduan pengguna pengelolaan feed atau API pengelolaan feed.