Para usar las detecciones seleccionadas, la investigación de amenazas y las funciones de gestión de derechos de infraestructura en la nube (CIEM) de Security Command Center en Amazon Web Services (AWS), es necesario ingerir los registros de AWS mediante la canalización de ingesta de Google SecOps. Los tipos de registros de AWS necesarios para la ingestión varían en función de lo que esté configurando:
- CIEM requiere datos del tipo de registro de AWS CloudTrail.
- Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.
Para obtener más información sobre los distintos tipos de registros de AWS, consulta Dispositivos y tipos de registros admitidos.
Configurar la ingestión de registros de AWS para CIEM
Para generar resultados de tu entorno de AWS, las funciones de gestión de derechos de infraestructura en la nube (CIEM) requieren datos de los registros de AWS CloudTrail.
Para usar CIEM, haga lo siguiente al configurar la ingestión de registros de AWS.
Cuando configure AWS CloudTrail, siga estos pasos:
Crea uno de los siguientes elementos:
- Un registro de seguimiento a nivel de organización que extrae datos de registro de todas las cuentas de AWS.
Un registro a nivel de cuenta que extrae datos de registro de cuentas de AWS concretas.
Define el bucket de Amazon S3 o la cola de Amazon SQS que elijas para CIEM para registrar eventos de gestión de todas las regiones.
Cuando configures un feed para ingerir registros de AWS mediante la página Feeds (Feeds) de la consola de Security Operations, sigue estos pasos:
- Crea un feed que ingiera todos los registros de la cuenta del segmento de Amazon S3 o de la cola de Amazon SQS de todas las regiones.
Asigne el par clave-valor Etiquetas de ingestión del feed en función del tipo de fuente del feed. Para ello, utilice una de las siguientes opciones:
Si el Tipo de fuente es Amazon S3, configure una de las siguientes opciones:
- Para extraer datos cada 15 minutos, asigna el valor
CIEMal Label y el valorTRUEal Value. Puede reutilizar este feed para otros servicios de Security Command Center en los que se acepte una latencia de datos de 15 minutos. - Para extraer datos cada 12 horas, asigna el valor
CIEM_EXCLUSIVEal Etiqueta y el valorTRUEal Valor. Esta opción funciona con CIEM y otros posibles servicios de Security Command Center en los que se acepta una latencia de datos de 24 horas.
- Para extraer datos cada 15 minutos, asigna el valor
Si el Tipo de fuente es Amazon SQS, asigna el valor
CIEMal Nombre y el valorTRUEal Valor.
Si no configura correctamente la ingestión de registros, es posible que el servicio de detección de CIEM muestre resultados incorrectos. Además, si hay problemas con la configuración de CloudTrail, Security Command Center muestra el icono CIEM AWS CloudTrail configuration error.
Para configurar la ingesta de registros, consulta el artículo Ingerir registros de AWS en Google Security Operations de la documentación de Google SecOps.
Para obtener instrucciones completas sobre cómo habilitar CIEM, consulta el artículo Habilitar el servicio de detección de CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta el resumen de la gestión de derechos de infraestructura en la nube.
Configurar la ingestión de registros de AWS para detecciones seleccionadas
Las detecciones seleccionadas disponibles en Security Command Center Enterprise ayudan a identificar amenazas en entornos de AWS mediante datos de eventos y de contexto.
Cada conjunto de reglas de AWS requiere determinados datos para funcionar correctamente, como una o varias de las siguientes fuentes:
- AWS CloudTrail
- AWS GuardDuty
- Datos de contexto de AWS sobre hosts, servicios y VPCs.
- AWS Identity and Access Management
Para usar estas detecciones seleccionadas, debe ingerir datos de registro de AWS en el arrendatario de Google SecOps y, a continuación, habilitar las reglas de detección seleccionadas.
Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:
Dispositivos y tipos de registros admitidos en AWS: información sobre los datos que requieren los conjuntos de reglas de AWS.
Ingiere registros de AWS en Google Security Operations: pasos para recoger registros de AWS CloudTrail.
Detecciones seleccionadas para datos de AWS: resumen de los conjuntos de reglas de AWS en las detecciones seleccionadas de Amenazas en la nube.
Usar detecciones seleccionadas para identificar amenazas: cómo usar detecciones seleccionadas en Google SecOps.
Consulta los Google Cloud niveles de servicio para obtener información sobre el tipo de datos de registro que pueden ingerir en el arrendatario de Google SecOps los clientes que tengan Security Command Center Enterprise.