Connettiti ad AWS per l'importazione dei log

I rilevamenti curati da Security Command Center, le indagini sulle minacce e le funzionalità Cloud Infrastructure Entitlement Management (CIEM) (Anteprima) per Amazon Web Services (AWS) richiedono l'importazione dei log AWS in Security Command Center.

Rilevamenti selezionati

Se prevedi di utilizzare rilevamenti selezionati, assicurati di consultare le informazioni sui tipi di log supportati. Ogni insieme di regole richiede determinati dati per funzionare come previsto, inclusi uno o più dei seguenti elementi:

  • Log AWS CloudTrail
  • GuardDuty di AWS
  • Flusso VPC AWS
  • AWS CloudWatch
  • Pannello di sicurezza AWS
  • Dati di contesto AWS su host, servizi, VPC e utenti

Per utilizzare questi rilevamenti selezionati, devi importare i dati AWS in Google Security Operations e quindi abilitare le regole di rilevamento selezionate. Per informazioni su come configurare l'importazione dei dati AWS, consulta Importare i log di AWS in Google Security Operations nella documentazione di Google SecOps. Per informazioni su come abilitare le regole di rilevamento selezionate, consulta Utilizzare rilevamenti selezionati per identificare le minacce nella documentazione di Google SecOps.

Configura l'importazione di log AWS per CIEM

Per utilizzare Cloud Infrastructure Entitlement Management (CIEM), segui questi passaggi quando configuri l'importazione dei log di AWS.

  1. Quando imposti AWS CloudTrail, completa i seguenti passaggi di configurazione:

    1. Crea un trail a livello di organizzazione che estragga i dati di log da tutti gli account AWS nel tuo ambiente.
    2. Imposta il bucket S3 che scegli per CIEM in modo che registri gli eventi di dati e gli eventi di gestione da tutte le regioni. Inoltre, seleziona tutti i servizi applicabili da cui vuoi importare gli eventi di dati. Senza questi dati sugli eventi, CIEM non può generare risultati accurati per AWS.

  2. Quando imposti un feed per importare i log di AWS nella console operativa di sicurezza, completa i seguenti passaggi di configurazione:

    1. Crea un feed che importi tutti i log dell'account dal bucket S3 per tutte le regioni.
    2. Imposta la coppia chiave-valore Etichetta di importazione del feed su CIEM e TRUE.

Se non configuri l'importazione dei log correttamente, il servizio di rilevamento CIEM potrebbe visualizzare risultati errati. Inoltre, in caso di problemi con la configurazione di CloudTrail, Security Command Center visualizza CIEM AWS CloudTrail configuration error.

Per configurare l'importazione dei log, consulta Importare i log di AWS in Google Security Operations nella documentazione di Google SecOps.

Per istruzioni complete sull'abilitazione di CIEM, vedi Abilitare il servizio di rilevamento CIEM per AWS. Per ulteriori informazioni sulle funzionalità CIEM, consulta la Panoramica della gestione dei diritti di Cloud Infrastructure.