Verbindung zu AWS für die Logaufnahme herstellen

Die von Security Command Center ausgewählten Erkennungen, Bedrohungsuntersuchungen und CIEM-Funktionen (Cloud Infrastructure Entitlement Management, Vorabversion) für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs über die Aufnahmepipeline der Security Operations Console. Die für die Aufnahme erforderlichen AWS-Logtypen unterscheiden sich je nach was Sie konfigurieren:

  • CIEM erfordert Daten aus dem AWS CloudTrail-Logtyp.
  • Für ausgewählte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.

Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Protokolle .

Ausgewählte Erkennungen

Für ausgewählte Erkennungen sind für jeden AWS-Regelnsatz bestimmte Daten erforderlich, um wie vorgesehen zu funktionieren. Dazu gehören mindestens eine der folgenden Datenquellen:

  • AWS CloudTrail-Logs
  • AWS GuardDuty
  • AWS-Kontextdaten zu Hosts, Diensten, VPC und Nutzern

Damit Sie diese ausgewählten Erkennungsmechanismen verwenden können, müssen Sie AWS-Daten in Google Security Operations aufnehmen, und aktivieren Sie dann die kuratierten Erkennungsregeln. Informationen zum Konfigurieren der Datenaufnahme von AWS finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen. Informationen zum Aktivieren von ausgewählten Erkennungsregeln finden Sie in der Google SecOps-Dokumentation unter Ausgewählte Erkennungen zur Identifizierung von Bedrohungen verwenden.

AWS-Logaufnahme für CIEM konfigurieren

Zum Generieren von Ergebnissen für Ihre AWS-Umgebung führt das Cloud Infrastructure Entitlement Management (CIEM) Funktionen erfordern Daten aus AWS CloudTrail-Logs.

Wenn Sie CIEM verwenden möchten, gehen Sie bei der Konfiguration der AWS-Logaufnahme so vor:

  1. Führen Sie bei der Einrichtung von AWS CloudTrail die folgenden Konfigurationsschritte aus:

    1. Erstellen Sie einen Pfad auf Organisationsebene, der Protokolldaten aus allen Quellen abruft die AWS-Konten in Ihrer Umgebung.
    2. Legen Sie den ausgewählten S3-Bucket fest, der von CIEM protokolliert werden soll Datenereignisse und Verwaltungsereignisse aus allen Regionen. In Wählen Sie außerdem alle gewünschten Dienste aus, Ereignisse ab. Ohne diese Ereignisdaten kann CIEM keine genauen Ergebnisse für AWS generieren.

  2. Wenn Sie einen Feed zur Aufnahme von AWS-Logs in der Security Operations-Konsole einrichten, die folgenden Konfigurationsschritte aus:

    1. Erstellen Sie einen Feed, der alle Kontoprotokolle aus dem S3-Bucket für alle Regionen.
    2. Lege das Schlüssel/Wert-Paar Aufnahmelabel des Feeds auf CIEM und TRUE fest.

Wenn Sie die Protokollaufnahme nicht richtig konfigurieren, zeigt der CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse an. Wenn es Probleme mit Ihrer CloudTrail-Konfiguration gibt, wird in Security Command Center außerdem das Symbol CIEM AWS CloudTrail configuration error angezeigt.

Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.

Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter Aktivieren Sie den CIEM-Erkennungsdienst für AWS. Weitere Informationen zu CIEM-Funktionen finden Sie unter Cloud Infrastructure Entitlement Management.