Die von Security Command Center ausgewählten Erkennungen, Bedrohungsuntersuchungen und CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs über die Aufnahmepipeline der Security Operations Console. Die für die Aufnahme erforderlichen AWS-Logtypen unterscheiden sich je nach Konfiguration:
- Für CIEM sind Daten vom AWS CloudTrail-Logtyp erforderlich.
- Für ausgewählte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.
Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Logtypen.
Ausgewählte Erkennungen
Für ausgewählte Erkennungen sind für jeden AWS-Regelnsatz bestimmte Daten erforderlich, um wie vorgesehen zu funktionieren. Dazu gehören mindestens eine der folgenden Datenquellen:
- AWS CloudTrail-Logs
- AWS GuardDuty
- AWS-Kontextdaten zu Hosts, Diensten, VPCs und Nutzern
Wenn Sie diese ausgewählten Erkennungen verwenden möchten, müssen Sie AWS-Daten in Google Security Operations aufnehmen und dann die Regeln für die ausgewählten Erkennungen aktivieren. Informationen zum Konfigurieren der Aufnahme der AWS-Daten finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen. Informationen zum Aktivieren von ausgewählten Erkennungsregeln finden Sie in der Google SecOps-Dokumentation unter Ausgewählte Erkennungen zur Identifizierung von Bedrohungen verwenden.
AWS-Logaufnahme für CIEM konfigurieren
Um Ergebnisse für Ihre AWS-Umgebung zu generieren, benötigen die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) Daten aus AWS CloudTrail-Logs.
Wenn Sie CIEM verwenden möchten, gehen Sie so vor, wenn Sie die AWS-Logaufnahme konfigurieren:
Führen Sie bei der Einrichtung von AWS CloudTrail die folgenden Konfigurationsschritte aus:
- Erstellen Sie Folgendes:
- Ein Pfad auf Organisationsebene, der Protokolldaten aus allen AWS-Konten abruft.
- Ein Logfile auf Kontoebene, das Protokolldaten aus ausgewählten AWS-Konten abruft.
- Legen Sie für den von Ihnen für CIEM ausgewählten S3-Bucket fest, dass Verwaltungsereignisse aus allen Regionen protokolliert werden sollen.
- Erstellen Sie Folgendes:
Führen Sie die folgenden Konfigurationsschritte aus, um einen Feed einzurichten, über den AWS-Logs in der Security Operations Console aufgenommen werden:
- Erstellen Sie einen Feed, in dem alle Kontoprotokolle aus dem S3-Bucket für alle Regionen aufgenommen werden.
- Legen Sie für das Schlüssel/Wert-Paar Aufnahmelabel des Feeds die Werte
CIEMundTRUEfest.
Wenn Sie die Protokollaufnahme nicht richtig konfigurieren, werden vom CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse angezeigt. Wenn es Probleme mit Ihrer CloudTrail-Konfiguration gibt, wird in Security Command Center außerdem das Symbol CIEM AWS CloudTrail configuration error angezeigt.
Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.
Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Funktionen finden Sie unter Cloud Infrastructure Entitlement Management.