I rilevamenti selezionati, le indagini sulle minacce e le funzionalità CIEM (Cloud Infrastructure Entitlement Management) di Security Command Center per Amazon Web Services (AWS) richiedono l'importazione dei log AWS utilizzando la pipeline di importazione della console Security Operations. I tipi di log AWS richiesti per l'importazione variano in base a ciò che stai configurando:
- CIEM richiede i dati del tipo di log AWS CloudTrail.
- I rilevamenti selezionati richiedono dati di più tipi di log AWS.
Per scoprire di più sui diversi tipi di log AWS, consulta Dispositivi e tipi di log supportati.
Rilevamenti selezionati
Per i rilevamenti selezionati, ogni insieme di regole AWS richiede determinati dati per funzionare come progettato, inclusi uno o più dei seguenti:
- Log di AWS CloudTrail
- AWS GuardDuty
- Dati di contesto AWS su host, servizi, VPC e utenti
Per utilizzare questi rilevamenti selezionati, devi importare i dati AWS in Google Security Operations e attivare le regole di rilevamento selezionate. Per informazioni su come configurare l'importazione dei dati AWS, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps. Per informazioni su come attivare le regole di rilevamento selezionate, consulta Utilizzare i rilevamenti selezionati per identificare le minacce nella documentazione di Google SecOps.
Configura l'importazione dei log AWS per CIEM
Per generare risultati per il tuo ambiente AWS, le funzionalità di gestione dei diritti di Cloud Infrastructure (CIEM) richiedono i dati dei log di AWS CloudTrail.
Per utilizzare CIEM, procedi nel seguente modo durante la configurazione dell'importazione dei log AWS.
Quando configuri AWS CloudTrail, completa i seguenti passaggi di configurazione:
- Crea un percorso a livello di organizzazione che estrae i dati dei log da tutti gli account AWS nel tuo ambiente.
- Imposta il bucket S3 che scegli per CIEM in modo che registri eventi relativi ai dati ed eventi di gestione da tutte le regioni. Inoltre, seleziona tutti i servizi applicabili da cui vuoi importare gli eventi di dati. Senza questi dati sugli eventi, CIEM non può generare risultati accurati per AWS.
Quando configuri un feed per importare i log AWS nella console Security Operations, completa i seguenti passaggi di configurazione:
- Crea un feed che importi tutti i log dell'account dal bucket S3 per tutte le regioni.
- Imposta la coppia chiave-valore Etichetta importazione del feed su
CIEM
eTRUE
.
Se non configuri correttamente l'importazione dei log, il servizio di rilevamento CIEM potrebbe mostrare risultati errati. Inoltre, se si verificano problemi con la configurazione di CloudTrail, Security Command Center mostra il messaggio CIEM AWS CloudTrail configuration error
.
Per configurare l'importazione dei log, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps.
Per istruzioni complete sull'attivazione di CIEM, consulta Attivare il servizio di rilevamento CIEM per AWS. Per saperne di più sulle funzionalità di CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.