若要使用 Security Command Center 为 Amazon Web Services (AWS) 提供的检测、威胁调查和 Cloud Infrastructure Entitlement Management (CIEM) 功能,您需要使用 Security Operations 控制台提取流水线提取 AWS 日志。提取所需的 AWS 日志类型因您要配置的内容而异:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
精选检测
对于精选检测,每个 AWS 规则集都需要特定数据才能按预期运行,包括以下一项或多项:
- AWS CloudTrail 日志
- AWS GuardDuty
- 与主机、服务、VPC 和用户相关的 AWS 上下文数据
如需使用这些精选检测功能,您必须将 AWS 数据注入到 Google Security Operations,然后启用精选检测规则。如需了解如何配置 AWS 数据的提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营部分。如需了解如何启用精选检测规则,请参阅 Google SecOps 文档中的使用精选检测功能识别威胁。
为 CIEM 配置 AWS 日志提取
如需为您的 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要 AWS CloudTrail 日志中的数据。
如需使用 CIEM,请在配置 AWS 日志提取时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
- 创建组织级轨迹,从您环境中的所有 AWS 账号中提取日志数据。
- 为 CIEM 设置您选择的 S3 存储桶,以记录所有区域中的数据事件和管理事件。此外,选择您要从中注入数据事件的所有适用服务。如果没有这些事件数据,CIEM 将无法为 AWS 生成准确的发现。
在安全运营控制台中设置 Feed 以注入 AWS 日志时,请完成以下配置步骤:
- 创建一个 Feed,用于提取所有地区的 S3 存储桶中的所有账号日志。
- 将 Feed 提取标签键值对设置为
CIEM和TRUE。
如果您未正确配置日志提取,CIEM 检测服务可能会显示错误的发现结果。此外,如果您的 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营中心。
如需有关启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。如需详细了解 CIEM 功能,请参阅 云基础架构授权管理概览。