Security Command Center 精选的检测、威胁调查和 云基础架构授权管理 (CIEM)(预览版) 适用于 Amazon Web Services (AWS) 的功能需要提取 AWS 日志 Security Command Center注入所需的 AWS 日志类型因具体情况而异 包括您要配置的内容:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志 类型。
精选检测
对于 检测,每个 AWS 规则集 需要特定的数据才能按预期运行,包括 以下:
- AWS CloudTrail 日志
- AWS GuardDuty
- AWS VPC 流
- AWS CloudWatch
- AWS Security Hub
- 有关主机、服务、VPC 和用户的 AWS 上下文数据
要使用这些精选检测,您必须将 AWS 数据注入 Google Security Operations, 然后启用精选检测规则。关于如何 配置 AWS 数据的注入,请参阅将 AWS 日志注入 Google Security Operations Google SecOps 文档。有关如何启用 请参阅使用特写检测来识别 安全威胁 Google SecOps 文档。
为 CIEM 配置 AWS 日志提取
为了为您的 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要来自 AWS CloudTrail 日志的数据。
如需使用 CIEM,请在配置 AWS 日志提取时执行以下操作。
设置 AWS CloudTrail 时,完成以下配置 步骤:
- 创建组织级跟踪记录,从所有 您的环境中的 AWS 账号。
- 设置您为 CIEM 选择的 S3 存储桶以记录数据 所有区域的管理事件。此外,请选择 您要从中注入数据事件的所有适用服务。不包含 CIEM 无法为此事件数据生成准确的发现结果 AWS.
在 Security Operations 控制台中设置 Feed 以注入 AWS 日志时, 完成以下配置步骤:
- 创建一个 Feed,从 S3 存储桶为所有所有用户 区域。
- 将 Feed 提取标签键值对设置为
CIEM。 和TRUE。
如果您未正确配置日志注入,CIEM
检测服务可能会显示不正确的发现结果。此外,如果有
发现问题,Security Command Center 会显示
CIEM AWS CloudTrail configuration
error.
要配置日志注入,请参阅将 AWS 日志注入 Google Security Operations 。
有关启用 CIEM 的完整说明,请参阅启用 CIEM 检测 服务。有关 CIEM 功能,请参阅 云基础架构授权管理。