Mengintegrasikan AWS CloudWatch dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan AWS CloudWatch dengan Google Security Operations (Google SecOps).

Versi integrasi: 6.0

Kasus Penggunaan

Tindakan aktif - menelusuri log, membuat grup/streaming log, menghapus grup/streaming log, memperbarui kebijakan retensi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
ID Kunci Akses AWS String T/A Ya ID Kunci Akses AWS yang akan digunakan dalam integrasi.
Kunci Rahasia AWS Sandi T/A Ya Kunci Rahasia AWS yang akan digunakan dalam integrasi.
Region Default AWS String T/A Ya Region default AWS yang akan digunakan dalam integrasi, misalnya us-west-2.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Ping

Uji konektivitas ke AWS CloudWatch.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the AWS CloudWatch server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika tidak berhasil: "Gagal terhubung ke server AWS CloudWatch. Error adalah {0}".format(exception.stacktrace)

 Umum

Mencantumkan Grup Log

Mencantumkan grup log yang tersedia di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Jumlah Maksimum Grup yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah grup yang akan ditampilkan. Default: 50.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Hasil JSON
[
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1611581795766,
        "logGroupName": "CloudTrail/DefaultLogGroup",
        "metricFilterCount": 0,
        "storedBytes": 24529015
    },
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1606993203235,
        "logGroupName": "Example",
        "metricFilterCount": 1,
        "storedBytes": 730
    },
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1611652265055,
        "logGroupName": "aws-cloudtrail-logs",
        "metricFilterCount": 0,
        "storedBytes": 51354815
    }
]
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika data tersedia (is_success = true): "Successfully returned available log groups in AWS CloudWatch".

jika tidak ada data yang tersedia (is_success = true): "No log groups were found in AWS CloudWatch".

Tindakan harus gagal dan menghentikan eksekusi playbook:
if fatal error, like wrong credentials, no connection to server, other: "Error executing action "List Log Groups". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Nama: "Grup Log"

Kolom:

Nama

Jumlah Filter Metrik

Byte Tersimpan

Waktu Pembuatan

 Umum

Mencantumkan Aliran Log

Mencantumkan aliran log yang tersedia di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Grup Log CSV T/A Ya Tentukan daftar nama grup yang dipisahkan koma yang log stream-nya ingin Anda ambil.
Urutkan Menurut DDL

Nama Aliran Log

Nilai yang Mungkin:

Nama Aliran Log

Waktu Acara Terakhir

Tidak Tentukan cara pengurutan aliran log.
Tata Urutan DDL

Menaik

Nilai yang Mungkin:

Menaik

Menurun

 Tidak Tentukan urutan pengurutan yang harus digunakan.
Jumlah Maksimum Streaming yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan berapa banyak aliran yang akan ditampilkan per grup log.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Hasil JSON
[{
    "group":"{group name}"
"logStreams": [
        {
            "arn": "arn:aws:logs:us-east-1:log-group:aws-cloudtrail-logs:log-stream:CloudTrail_us-east-1",
            "creationTime": 1611652272827,
            "firstEventTimestamp": 1611652287716,
            "lastEventTimestamp": 1612271538268,
            "lastIngestionTime": 1612271538289,
            "logStreamName": "CloudTrail_us-east-1",
            "storedBytes": 0,
            "uploadSequenceToken": "49039859450784908968417870788122674924958823185025535393"
        }
    ]
}
]
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika data tersedia untuk setidaknya satu grup log (is_success = true): "Berhasil menampilkan aliran log yang tersedia untuk grup log berikut di AWS CloudWatch: {group names}".

if data is not available for at least one log group (is_success = true): "Tindakan tidak dapat menampilkan aliran log yang tersedia untuk grup log berikut di AWS CloudWatch: {group names}".

jika data tidak tersedia untuk setidaknya satu grup log (is_success = false): "No log streams were found for the provided log groups in AWS CloudWatch".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "List Log Streams". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Nama: "{Group Name}: Log Streams"

Kolom:

Nama

Byte Tersimpan

Waktu Pembuatan

Stempel Waktu Peristiwa Terakhir

Umum

Peristiwa Log Penelusuran

Telusuri peristiwa log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Grup Log String T/A Ya Tentukan nama grup log tempat Anda ingin menelusuri peristiwa.
Aliran Log CSV T/A Tidak Tentukan daftar aliran log yang dipisahkan koma, tempat Anda ingin menelusuri peristiwa.
Jangka Waktu DDL

Sejam Terakhir

Nilai yang Mungkin:

Sejam Terakhir

6 Jam Terakhir

24 Jam Terakhir

Seminggu Terakhir

Sebulan Terakhir

Kustom

 Tidak Tentukan jangka waktu untuk penelusuran. Jika "Kustom" dipilih, Anda juga harus menetapkan "Waktu Mulai".
Waktu Mulai String T/A Tidak Tentukan waktu mulai penelusuran. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601
Waktu Berakhir String T/A Tidak Tentukan waktu berakhir untuk penelusuran. Format: ISO 8601. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini.
Filter Kustom String T/A Tidak Tentukan filter kustom untuk penelusuran. Untuk informasi tambahan, lihat portal dokumentasi.
Jumlah Maksimum Acara yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah peristiwa yang akan ditampilkan. Default: 50.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Hasil JSON
[
        {
            "eventId": "ID",
            "ingestionTime": 1611652287896,
            "logStreamName": "CloudTrail_us-east-1",
            "message": {
                "eventVersion": "1.08",
                "userIdentity": {
                    "type": "AssumedRole",
                    "principalId": "ID",
                    "arn":"arn:aw
s:sts: : ACCOUNT_ID:assumed-role/AWSServiceRoleForAmazonMacie/AmazonMacieSession","accountId":"ACCOUNT_ID","accessKeyId":"KEY_ID","sessionC
ontext":{"sessionIssuer":{"type":"Role","principalId":"ID","arn":"arn:aws:iam: : ACCOUNT_ID:role/aws-service-role/macie.amazonaws.com/AW
SServiceRoleForAmazonMacie","accountId":"ACCOUNT_ID","userName":"AWSServiceRoleForAmazonMacie"},"webIdFederationData":{},"attributes":{"mfaAuthenticated": "false",
                    "creationDate": "2021-01-26T08:53:52Z"
                }
            },
            "invokedBy": "AWS Internal",
            "eventTime": "2021-01-26T08:53:52Z",
            "eventSource": "s3.amazonaws.com",
            "eventName": "GetBucketLogging",
            "awsRegion": "us-east-1",
            "sourceIPAddress": "AWSInternal",
            "userAgent": "AWS Internal",
            "requestParameters": {
                "logging": "",
                "bucketName": "example",
                "Host": "example.s3.amazonaws.com"
            },
            "responseElements": null,
            "additionalEventData": {
                "SignatureVersion": "SigV4",
                "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
                "bytesTransferredIn": 0,
                "AuthenticationMethod": "AuthHeader",
                "x-amz-id-2": "PFM+6pyK/gCPy95gh8dtstgtXftrpHkL8s=",
                "bytesTransferredOut": 289
            },
            "requestID": "8FA919A428BC82D7",
            "eventID": "7eb5dd44-7021-4945-b9be-27f5b1e0d8d0",
            "readOnly": true,
            "resources": [
                {
                    "accountId": "ACCOUNT_ID",
                    "type": "AWS::S3::Bucket",
                    "ARN": "arn:aws:s3:::example"
                }
            ],
            "eventType": "AwsApiCall",
            "managementEvent": true,
            "eventCategory": "Management",
            "recipientAccountId": "ACCOUNT_ID"
        },
        "timestamp": 1611652287716
    }
]
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika data tersedia untuk (is_success = true): "Successfully executed search in AWS CloudWatch".

jika data tidak tersedia (is_success = false): "Tidak ada data yang ditemukan untuk penelusuran yang diberikan".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Search Log Events". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Nama: "Hasil Penelusuran"

Kolom: semua kunci yang tersedia.

 Umum

Menetapkan Kebijakan Retensi

Tetapkan kebijakan retensi untuk grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Grup Log String T/A Ya Tentukan nama grup log yang kebijakan retensinya ingin Anda tetapkan.
Hari Retensi DDL

1

Nilai yang Mungkin Muncul

1, 3, 5, 7, 14, 30, 60, 90, 120, 150, 180, 365, 400, 545, 731, 1827, dan 3653

 Ya Tentukan berapa hari data harus dipertahankan dalam grup log.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully set the retention policy for log group {group} in AWS CloudWatch".

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Setel Kebijakan Retensi". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menghapus Kebijakan Retensi

Hapus kebijakan retensi dari grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Grup Log String T/A Ya Tentukan nama grup log yang kebijakan retensinya ingin Anda hapus.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully removed the retention policy from log group {group} in AWS CloudWatch".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Hapus Kebijakan Retensi". Alasan: {0}''.format(error.Stacktrace)

 Umum

Buat Grup Log

Buat grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Nama Grup Log String T/A Ya Tentukan nama untuk grup log baru.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Hasil JSON
{
"group_name": "GROUP_NAME"
}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully created a new log group {group} in AWS CloudWatch".

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Buat Grup Log". Alasan: {0}''.format(error.Stacktrace)

 Umum

Buat Aliran Log

Buat aliran log untuk grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Grup Log String T/A Ya Tentukan nama grup log tempat Anda ingin membuat aliran log.
Nama Aliran Log String T/A Ya Tentukan nama untuk aliran log baru.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Hasil JSON
{
"log_stream": "STREAM_NAME"
}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully created a new log stream in log group {group} in AWS CloudWatch".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Сreate Log Stream". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menghapus Grup Log

Hapus grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Nama Grup Log String T/A Ya Tentukan nama grup log yang perlu dihapus.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully deleted log group {group} in AWS CloudWatch".

Jika grup tidak ada (is_success=false): "Tindakan tidak dapat menghapus grup log {group} di AWS CloudWatch. Alasan: Grup log {group} tidak ditemukan di AWS CloudWatch."

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat mengeksekusi tindakan "Hapus Grup Log". Alasan: {0}''.format(error.Stacktrace)

 Umum

Hapus Aliran Log

Menghapus aliran log dalam grup log di AWS CloudWatch.

Parameter

Nama Tampilan Parameter> Jenis> Nilai Default> Wajib> Deskripsi>
Nama Grup Log String T/A Ya Tentukan nama grup log yang berisi aliran log.
Nama Aliran Log String T/A Ya Tentukan nama aliran log yang perlu dihapus.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip> Opsi Nilai>
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if data success: (is_success = true): "Successfully deleted log stream {stream} from log group {group} in AWS CloudWatch".

Jika stream tidak ada (is_success=false): "Tindakan tidak dapat menghapus stream log {stream} dari grup log {group} di AWS CloudWatch. Alasan: Aliran log {stream} tidak ditemukan dalam grup log {group} di AWS CloudWatch."

Jika grup tidak ada (is_success=false): "Action wasn't able to delete log stream {stream} from log group {group} in AWS CloudWatch. Alasan: Grup log {group} tidak ditemukan di AWS CloudWatch."

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Hapus Aliran Log". Alasan: {0}''.format(error.Stacktrace)

 Umum

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.