若要使用 Security Command Center 为 Amazon Web Services (AWS) 提供的检测、威胁调查和 Cloud Infrastructure Entitlement Management (CIEM) 功能,您需要使用 Security Operations 控制台提取流水线提取 AWS 日志。注入所需的 AWS 日志类型因您要配置的内容而异:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
精选检测
对于精选检测,每个 AWS 规则集都需要特定数据才能按预期运行,包括以下一项或多项:
- AWS CloudTrail 日志
- AWS GuardDuty
- 与主机、服务、VPC 和用户相关的 AWS 上下文数据
如需使用这些精选检测功能,您必须将 AWS 数据提取到 Google Security Operations,然后启用精选检测规则。如需了解如何配置 AWS 数据的提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营。如需了解如何启用精选检测规则,请参阅 Google SecOps 文档中的使用精选检测功能识别威胁。
为 CIEM 配置 AWS 日志注入
如需为您的 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要使用 AWS CloudTrail 日志中的数据。
如需使用 CIEM,请在配置 AWS 日志注入时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
- 创建以下任一内容:
- 一个组织级轨迹,用于从所有 AWS 账号中提取日志数据。
- 一种账号级轨迹,用于从特定 AWS 账号中提取日志数据。
- 设置您为 CIEM 选择的 S3 存储分区,以记录所有区域中的管理事件。
- 创建以下任一内容:
在安全运营控制台中设置 Feed 以提取 AWS 日志时,请完成以下配置步骤:
- 创建一个 Feed,用于提取所有地区的 S3 存储分区中的所有账号日志。
- 将 Feed 提取标签键值对设置为
CIEM和TRUE。
如果您未正确配置日志提取,CIEM 检测服务可能会显示错误的发现结果。此外,如果您的 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营中心。
如需有关启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。如需详细了解 CIEM 功能,请参阅 云基础架构授权管理概览。