Security Command Center propose des fonctionnalités de détection, d'investigation des menaces et Gestion des droits d'accès à l'infrastructure cloud (CIEM) (version preview) pour Amazon Web Services (AWS) nécessitent l'ingestion de journaux AWS à Security Command Center. Les types de journaux AWS requis pour l'ingestion diffèrent selon en fonction de ce que vous configurez:
- CIEM nécessite des données provenant du type de journal AWS CloudTrail.
- Les détections sélectionnées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez Appareils et journaux compatibles différents types d'appareil.
Détections sélectionnées
Pour les produits sélectionnés détections, chaque ensemble de règles AWS nécessite que certaines données fonctionnent comme prévu, dont une ou plusieurs les éléments suivants:
- Journaux AWS CloudTrail
- AWS GuardDuty
- Flux VPC AWS
- AWS CloudWatch
- AWS Security Hub
- Données contextuelles AWS sur les hôtes, les services, le VPC et les utilisateurs
Pour utiliser ces sélections de détections, vous devez ingérer des données AWS dans Google Security Operations, puis activer les règles de détection organisées. Pour savoir comment configurer l'ingestion des données AWS, consultez la section Ingérer des journaux AWS dans Google Security Operations la documentation Google SecOps. Pour savoir comment activer règles de détection sélectionnées, consultez la section Utiliser les détections sélectionnées pour identifier des menaces Documentation Google SecOps.
Configurer l'ingestion de journaux AWS pour CIEM
Pour générer des résultats pour votre environnement AWS, la solution de gestion des droits d'accès à l'infrastructure cloud (CIEM) nécessitent des données provenant des journaux AWS CloudTrail.
Pour utiliser CIEM, procédez comme suit lorsque vous configurez l'ingestion de journaux AWS.
Lors de la configuration de l'AWS CloudTrail, procédez comme suit étapes:
- Créez un suivi au niveau de l'organisation qui extrait les données des journaux de toutes les Comptes AWS de votre environnement.
- Définissez le bucket S3 de votre choix pour que CIEM consigne les données. les événements et les événements de gestion de toutes les régions. Sélectionnez également tous les services applicables à partir desquels vous souhaitez ingérer des événements de données. Sans ces données d'événement. Le CIEM ne peut pas générer de résultats précis pour AWS.
Lorsque vous configurez un flux pour ingérer les journaux AWS dans la console Security Operations, procédez comme suit:
- Créez un flux qui ingère tous les journaux de compte à partir du bucket S3 pour tous régions.
- Définissez la paire clé-valeur Étiquette d'ingestion du flux sur
CIEM. etTRUE.
Si vous ne configurez pas correctement l'ingestion de journaux,
de détection peut afficher des résultats incorrects. De plus, s'il y a
les problèmes liés à votre configuration CloudTrail, Security Command Center affiche
CIEM AWS CloudTrail configuration
error
Pour configurer l'ingestion de journaux, consultez Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation de CIEM, consultez la section Activer le Détection CIEM pour AWS. Pour plus sur les fonctionnalités CIEM, consultez la page Présentation Gestion des droits d'accès à l'infrastructure cloud