Las detecciones seleccionadas, la investigación de amenazas y las funciones de administración de derechos de infraestructura de nube (CIEM) de Security Command Center para Amazon Web Services (AWS) requieren la transferencia de registros de AWS a través de la canalización de transferencia de la consola de Security Operations. Los tipos de registros de AWS necesarios para la transferencia difieren según lo que configures:
- La CIEM requiere datos del tipo de registro de AWS CloudTrail.
- Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.
Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Tipos de registros y dispositivos compatibles.
Detecciones seleccionadas
En el caso de las detecciones seleccionadas, cada conjunto de reglas de AWS requiere ciertos datos para funcionar según lo diseñado, incluidos uno o más de los siguientes:
- Registros de AWS CloudTrail
- AWS GuardDuty
- Datos de contexto de AWS sobre hosts, servicios, VPC y usuarios
Para usar estas detecciones seleccionadas, debes transferir los datos de AWS a Google Security Operations y, luego, habilitar las reglas de detección seleccionadas. Para obtener información sobre cómo configurar la transferencia de datos de AWS, consulta Cómo transferir registros de AWS a Google Security Operations en la documentación de Google SecOps. Para obtener información sobre cómo habilitar las reglas de detección seleccionadas, consulta Cómo usar detecciones seleccionadas para identificar amenazas en la documentación de SecOps de Google.
Configura la transferencia de registros de AWS para CIEM
Para generar conclusiones para tu entorno de AWS, las funciones de administración de derechos de infraestructura de nube (CIEM) requieren datos de los registros de AWS CloudTrail.
Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.
Cuando configures AWS CloudTrail, completa los siguientes pasos de configuración:
- Crea un registro a nivel de la organización que extraiga datos de registro de todas las cuentas de AWS de tu entorno.
- Configura el bucket de S3 que elijas para que CIEM registre los eventos de datos y los eventos de administración de todas las regiones. Además, selecciona todos los servicios aplicables de los que deseas transferir eventos de datos. Sin estos datos de eventos, la CIEM no puede generar resultados precisos para AWS.
Cuando configures un feed para transferir registros de AWS en la consola de Security Operations, completa los siguientes pasos de configuración:
- Crea un feed que transfiera todos los registros de la cuenta del bucket de S3 para todas las regiones.
- Establece el par clave-valor Etiqueta de transferencia del feed en
CIEM
yTRUE
.
Si no configuras la transferencia de registros correctamente, es posible que el servicio de detección de CIEM muestre resultados incorrectos. Además, si hay
problemas con la configuración de CloudTrail, Security Command Center muestra la
CIEM AWS CloudTrail configuration error
.
Para configurar la transferencia de registros, consulta Cómo transferir registros de AWS a Google Security Operations en la documentación de Google SecOps.
Si deseas obtener instrucciones completas para habilitar la CIEM, consulta Habilita el servicio de detección de CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de la Administración de derechos de la infraestructura de nube.