Faça a ingestão de registros da AWS nas operações de segurança do Google

Este documento detalha as etapas para configurar a ingestão de registros do AWS CloudTrail e dados de contexto nas operações de segurança do Google. Estas etapas também se aplicam à ingestão de registros de outros serviços da AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Para ingerir registros de eventos, a configuração direciona os registros do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), opcionalmente usando uma fila do Amazon Simple Queue Service (Amazon SQS). Se uma fila do Amazon SQS for usada, o Google Security Operations vai ler as notificações do Amazon S3 que são enviadas para a fila do Amazon SQS e extrair os arquivos correspondentes do bucket do Amazon S3. Essa é efetivamente uma versão baseada em push de um feed do Amazon S3 e pode ser usada para conseguir um rendimento melhor.

A primeira parte deste documento fornece etapas concisas para usar o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usar o Amazon S3 com o Amazon SQS como o tipo de origem do feed. A segunda parte fornece etapas mais detalhadas com capturas de tela para usar o Amazon S3 como o tipo de origem do feed. O uso do Amazon SQS não é abordado na segunda parte. A terceira parte fornece informações sobre como ingerir dados de contexto da AWS sobre hosts, serviços, redes VPC e usuários.

Etapas básicas para ingerir registros do S3 ou S3 com SQS

Nesta seção, descrevemos as etapas básicas para ingerir os registros do AWS CloudTrail na sua instância das Operações de Segurança do Google. As etapas descrevem como fazer isso usando o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usando o Amazon S3 com o Amazon SQS como o tipo de origem do feed.

Configure o AWS CloudTrail e o S3

Neste procedimento, você configura os registros do AWS CloudTrail para serem gravados em um bucket do S3.

  1. No console da AWS, pesquise CloudTrail.
  2. Clique em Criar trilha.
  3. Forneça um Nome da trilha.
  4. Selecione Criar novo bucket do S3. Também é possível usar um bucket do S3 atual.
  5. Dê um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS atual.
  6. Você pode deixar as outras configurações como padrão e clicar em Próxima.
  7. Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
  8. Revise as configurações em Revisar e criar e clique em Criar trilha.
  9. No console da AWS, pesquise buckets do Amazon S3.
  10. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI S3 e salve-o para usar nas etapas a seguir.

Criar uma fila do SQS

Opcionalmente, você pode usar uma fila SQS. Se você usar uma fila SQS, ela precisará ser uma fila Padrão, não uma fila FIFO.

Para detalhes sobre como criar filas do SQS, consulte Primeiros passos com o Amazon SQS.

Configurar notificações para a fila do SQS

Se você usar uma fila do SQS, configure as notificações no bucket do S3 para gravar na fila do SQS. Anexe uma política de acesso.

Configurar usuário do AWS IAM

Configure um usuário do AWS IAM que as operações de segurança do Google usarão para acessar a fila do SQS (se usada) e o bucket do S3.

  1. No console da AWS, pesquise IAM.
  2. Clique em Usuários e,na tela seguinte, clique em Adicionar usuários.
  3. Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.
  4. Na próxima etapa, selecione Anexar políticas atuais diretamente e AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess seria usado se as operações de segurança do Google precisassem limpar os buckets do S3 após a leitura de registros para otimizar os custos de armazenamento do AWS S3.
  5. Como alternativa recomendada à etapa anterior, é possível restringir ainda mais o acesso apenas ao bucket do S3 especificado criando uma política personalizada. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
  6. Ao aplicar uma política, inclua sqs:DeleteMessage. As operações de segurança do Google não poderão excluir mensagens se a permissão sqs:DeleteMessage não estiver anexada à fila do SQS. Todas as mensagens são acumuladas no lado da AWS, o que causa um atraso porque as operações de segurança do Google tentam repetidamente transferir os mesmos arquivos.
  7. Clique em Próximo:tags.
  8. Adicione as tags, se necessário, e clique em Próximo:revisar.
  9. Revise a configuração e clique em Criar usuário.
  10. Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.

Criar o feed

Depois de concluir os procedimentos acima, crie um feed para processar registros da AWS do seu bucket do Amazon S3 na sua instância de operações de segurança do Google. Se você também estiver usando uma fila do SQS, no procedimento a seguir, selecione Amazon SQS como o tipo de origem, em vez de Amazon S3.

Siga estas instruções para criar um feed:

  1. Na barra de navegação, selecione Settings, SIEM Settings e Feeds.
  2. Na página Feeds, clique em Adicionar novo.
  3. Na caixa de diálogo Adicionar feed, use a caixa de diálogo Tipo de origem para selecionar Amazon S3 ou Amazon SQS.
  4. No menu Tipo de registro, selecione AWS CloudTrail (ou outro serviço da AWS).
  5. Clique em Próxima.
  6. Insira os parâmetros de entrada para seu feed nos campos.

    Se o tipo de origem for Amazon S3:
    1. Selecione região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, você pode anexar o URI S3 com:
      
    {{datetime("yyyy/MM/dd")}}
      Como no exemplo a seguir, para que as operações de segurança do Google verifiquem os registros cada vez apenas para um dia específico: 
      
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
    2. Em URI IS A, selecione Diretórios incluindo subdiretórios. Selecione uma opção apropriada em Opção de exclusão de fonte. Elas devem corresponder às permissões da conta de usuário do IAM que você criou anteriormente.
    3. Informe o ID da chave de acesso e a Chave de acesso secreta da conta de usuário do IAM que você criou anteriormente.

  7. Clique em Próximo e em Concluir.

Etapas detalhadas para ingerir registros do S3

Configurar o AWS CloudTrail (ou outro serviço)

Conclua as etapas a seguir para configurar os registros do AWS CloudTrail e direcionar para gravação no bucket S3 da AWS criado no procedimento anterior:

  1. No console da AWS, pesquise CloudTrail.

  2. Clique em Criar trilha.

    alt_text

  3. Forneça um Nome da trilha.

  4. Selecione Criar novo bucket do S3. Também é possível usar um bucket do S3 atual.

  5. Dê um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS atual.

    alt_text

  6. Você pode deixar as outras configurações como padrão e clicar em Próxima.

  7. Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.

    alt_text

  8. Revise as configurações em Revisar e criar e clique em Criar trilha.

  9. No console da AWS, pesquise buckets do Amazon S3.

    alt_text

  10. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI S3 e salve-o para usar nas etapas a seguir.

    alt_text

Configurar usuário do AWS IAM

Nesta etapa, vamos configurar um usuário do AWS IAM que será usado pelas operações de segurança do Google para receber feeds de registros da AWS.

  1. No console da AWS, pesquise IAM.

    alt_text

  2. Clique em Usuários e,na tela seguinte, clique em Adicionar usuários.

    alt_text

  3. Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.

    alt_text

  4. Na próxima etapa, selecione Anexar políticas atuais diretamente e AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess seria usado se as operações de segurança do Google precisassem limpar os buckets do S3 após a leitura de registros para otimizar os custos de armazenamento do AWS S3. Clique em Próximo:tags.

    alt_text

  5. Como alternativa recomendada à etapa anterior, é possível restringir ainda mais o acesso apenas ao bucket do S3 especificado criando uma política personalizada. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.

    alt_text

  6. Adicione as tags, se necessário, e clique em Próximo:revisar.

  7. Revise a configuração e clique em Criar usuário.

    alt_text

  8. Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.

    alt_text

Configurar o feed nas operações de segurança do Google para ingerir registros da AWS

  1. Acesse as configurações das Operações de Segurança do Google e clique em Feeds.
  2. Clique em Adicionar nova.
  3. Selecione Amazon S3 em Tipo de origem.
  4. Selecione AWS CloudTrail (ou outro serviço da AWS) em Tipo de registro.

alt_text

  1. Clique em Próxima.

  2. Selecione região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, você pode anexar o URI do S3 com:

    
{{datetime("yyyy/MM/dd")}}

    Como no exemplo a seguir, para que as Operações de Segurança do Google verifiquem os registros todas as vezes apenas de um dia específico:

    
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

  3. Em URI É A, selecione Diretórios incluindo subdiretórios. Selecione uma opção apropriada em Opção de exclusão de origem,que deve corresponder às permissões da conta de usuário do IAM criada anteriormente.

  4. Informe o ID da chave de acesso e a Chave de acesso secreta da conta de usuário do IAM criada anteriormente. alt_text

  5. Clique em Next e Finish.

Etapas para ingerir dados de contexto da AWS

Para ingerir dados de contexto sobre entidades da AWS (como hosts, instâncias e usuários), crie um feed para cada um dos seguintes tipos de registro, listados por descrição e rótulo de ingestão:

  • HOSTS do AWS EC2 (AWS_EC2_HOSTS)
  • INSTÂNCIAS DO AWS EC2 (AWS_EC2_INSTANCES)
  • VPCs AWS EC2 (AWS_EC2_VPCS)
  • Identity and Access Management (IAM) da AWS (AWS_IAM)

Para criar um feed para cada tipo de registro listado acima, faça o seguinte:

  1. Na barra de navegação, selecione Settings, SIEM Settings e Feeds.
  2. Na página Feeds, clique em Adicionar novo. A caixa de diálogo Adicionar feed vai aparecer.
  3. No menu Tipo de origem, selecione API de terceiros.
  4. No menu Tipo de registro, selecione AWS EC2 Hosts.
  5. Clique em Próxima.
  6. Insira os parâmetros de entrada para o feed nos campos.
  7. Clique em Next e em Finish.

Se quiser informações mais detalhadas sobre a configuração de um feed para cada tipo de registro, consulte a seguinte documentação sobre o gerenciamento de feeds:

Para informações gerais sobre como criar um feed, consulte o Guia do usuário de gerenciamento de feeds ou a API de gerenciamento de feeds.