O Security Command Center selecionou detecções, investigações de ameaças e Cloud Infrastructure Entitlement Management (CIEM) (pré-lançamento) recursos do Amazon Web Services (AWS) exigem a ingestão de registros da AWS no Security Command Center. Os tipos de registro da AWS necessários para ingestão diferem com base do que você está configurando:
- O CIEM exige dados do tipo de registro AWS CloudTrail.
- As detecções selecionadas exigem dados de vários tipos de registro da AWS.
Para saber mais sobre os diferentes tipos de registro da AWS, consulte Dispositivos e registros compatíveis tipos.
Detecções selecionadas
Para curadoria de detecção, cada conjunto de regras da AWS exige que certos dados funcionem como planejado, incluindo um ou mais o seguinte:
- Registros do AWS CloudTrail
- AWS GuardDuty
- Fluxo de VPC da AWS
- CloudWatch da AWS
- Central de segurança da AWS
- Dados de contexto da AWS sobre hosts, serviços, VPC e usuários
Para usar essas detecções selecionadas, você precisa ingerir dados da AWS no Google Security Operations, e ative as regras de detecção selecionadas. Para mais informações sobre como configure a ingestão de dados da AWS, consulte Ingerir registros da AWS no as Operações de segurança do Google no a documentação do Google SecOps. Para mais informações sobre como ativar regras de detecção selecionadas, consulte Usar detecções selecionadas para identificar ameaças no na documentação do Google SecOps.
Configure a ingestão de registros da AWS para CIEM
Para gerar descobertas sobre seu ambiente AWS, o Cloud Infrastructure Entitlement Management (CIEM) exigem dados de registros do AWS CloudTrail.
Para usar o CIEM, faça o seguinte ao configurar a ingestão de registros da AWS.
Ao configurar o AWS CloudTrail, conclua a configuração a seguir etapas:
- Crie uma trilha no nível da organização que extraia dados de registro de todas contas da AWS no seu ambiente.
- Defina o bucket S3 escolhido para o CIEM registrar dados eventos e de gerenciamento de todas as regiões. Além disso, selecione todos os serviços aplicáveis dos quais você quer ingerir eventos de dados. Sem esses dados de evento que o CIEM não pode gerar descobertas precisas para AWS.
Ao configurar um feed para ingerir registros da AWS no console de operações de segurança, conclua as seguintes etapas de configuração:
- Crie um feed que processe todos os registros de conta do bucket S3 para todos ou várias regiões.
- Definir o par de chave-valor Rótulo de ingestão do feed como
CIEM
eTRUE
.
Se a ingestão de registros não for configurada corretamente, o CIEM
serviço de detecção pode exibir descobertas incorretas. Além disso, se houver
problemas com a configuração do CloudTrail, o Security Command Center exibe a
CIEM AWS CloudTrail configuration
error
.
Para configurar a ingestão de registros, consulte Ingerir registros da AWS no Operações de segurança do Google na documentação do Google SecOps.
Para instruções completas sobre como ativar o CIEM, consulte Ativar o Detecção de CIEM ou serviço para a AWS. Para mais mais informações sobre os recursos do CIEM, consulte a Visão geral do Gerenciamento de direitos de infraestrutura do Cloud.