Las capacidades de detección seleccionadas, investigación de amenazas y administración de derechos de infraestructura de nube (CIEM) (versión preliminar) de Security Command Center para Amazon Web Services (AWS) requieren la transferencia de registros de AWS a través de la canalización de transferencia de la consola de Security Operations. Los tipos de registros de AWS necesarios para la transferencia difieren según lo que configures:
- La CIEM requiere datos del tipo de registro de AWS CloudTrail.
- Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.
Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Tipos de registros y dispositivos compatibles.
Detecciones seleccionadas
Para las detecciones seleccionadas, cada conjunto de reglas de AWS requiere que ciertos datos funcionen según lo previsto, incluidos uno o más de los lo siguiente:
- Registros de AWS CloudTrail
- AWS GuardDuty
- Datos de contexto de AWS sobre hosts, servicios, VPC y usuarios
Para usar estas detecciones seleccionadas, debes transferir los datos de AWS a Google Security Operations y, luego, habilitar las reglas de detección seleccionadas. Para obtener información sobre cómo configurar la transferencia de datos de AWS, consulta Transfiere registros de AWS a Google Security Operations en la documentación de Google SecOps. Para obtener información sobre cómo Habilita las reglas de detección seleccionadas, consulta Usa detecciones seleccionadas para identificar amenazas en la documentación de Google SecOps.
Configura la transferencia de registros de AWS para CIEM
Para generar resultados para tu entorno de AWS, Cloud Infrastructure Entitlement Management (CIEM) requieren datos de los registros de AWS CloudTrail.
Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.
Cuando configures AWS CloudTrail, completa los siguientes pasos de configuración:
- Crear un registro a nivel de la organización que extraiga datos de registro de todos las cuentas de AWS en tu entorno.
- Configura el bucket de S3 que elijas para que CIEM lo registre eventos de datos y eventos de administración de todas las regiones. En Además, selecciona todos los servicios aplicables a los que desees transferir datos los eventos del evento. Sin este evento, CIEM no puede generar más precisos para AWS.
Cuando configuras un feed para transferir registros de AWS en la consola de operaciones de seguridad, completa los siguientes pasos de configuración:
- Crea un feed que transfiera todos los registros de la cuenta del bucket de S3 para todas las regiones.
- Establece el par clave-valor Etiqueta de transferencia del feed en
CIEMyTRUE.
Si no configuras la transferencia de registros de forma correcta,
del servicio de detección
podría mostrar resultados incorrectos. Además, si hay
problemas con la configuración de CloudTrail, Security Command Center muestra el
CIEM AWS CloudTrail configuration error.
Para configurar la transferencia de registros, consulta Transfiere registros de AWS a Google Security Operations. en la documentación de Google SecOps.
Para obtener instrucciones completas sobre cómo habilitar CIEM, consulta Habilita el servicio de detección CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de la Administración de derechos de la infraestructura de nube.