若要使用 Security Command Center 为 Amazon Web Services (AWS) 提供的检测、威胁调查和 Cloud Infrastructure Entitlement Management (CIEM)(预览版)功能,您需要使用 Security Operations 控制台提取流水线提取 AWS 日志。注入所需的 AWS 日志类型因具体情况而异 您要配置的内容:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
精选检测
对于特选检测,每个 AWS 规则集 需要特定的数据才能按预期运行,包括一个或多个 以下:
- AWS CloudTrail 日志
- AWS GuardDuty
- 有关主机、服务、VPC 和用户的 AWS 上下文数据
要使用这些精选检测,您必须将 AWS 数据注入 Google Security Operations, 然后启用精选检测规则。有关如何 配置 AWS 数据的注入,请参阅 将 AWS 日志注入 Google Security Operations 。有关如何 启用精选检测规则,请参阅使用精选检测来识别威胁 。
为 CIEM 配置 AWS 日志提取
如需为您的 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要 AWS CloudTrail 日志中的数据。
如需使用 CIEM,请在配置 AWS 日志提取时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
- 创建组织级轨迹,从您环境中的所有 AWS 账号中提取日志数据。
- 为 CIEM 设置您选择的 S3 存储桶,以记录所有区域中的数据事件和管理事件。在 此外,请选择您想注入数据的所有适用服务 事件。如果没有这些事件数据,CIEM 将无法为 AWS 生成准确的发现。
在 Security Operations 控制台中设置 Feed 以注入 AWS 日志时, 完成以下配置步骤:
- 创建一个 Feed,用于提取所有地区的 S3 存储桶中的所有账号日志。
- 将 Feed 提取标签键值对设置为
CIEM和TRUE。
如果您未正确配置日志提取,CIEM 检测服务可能会显示错误的发现结果。此外,如果您的 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营。
如需有关启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。如需详细了解 CIEM 功能,请参阅 云基础架构授权管理概览。