As detecções selecionadas do Security Command Center, a investigação de ameaças e os recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) (pré-lançamento) para a Amazon Web Services (AWS) exigem a ingestão de registros da AWS usando o pipeline de ingestão do console do Security Operations. Os tipos de registro da AWS necessários para ingestão diferem com base o que você está configurando:
- O CIEM exige dados do tipo de registro AWS CloudTrail.
- As detecções selecionadas exigem dados de vários tipos de registro da AWS.
Para saber mais sobre os diferentes tipos de registro da AWS, consulte Dispositivos e tipos de registro compatíveis.
Detecções selecionadas
Para detecções selecionadas, cada conjunto de regras da AWS precisa de determinados dados para funcionar conforme o esperado, incluindo um ou mais dos seguintes:
- Registros do AWS CloudTrail
- AWS GuardDuty
- Dados de contexto da AWS sobre hosts, serviços, VPCs e usuários
Para usar essas detecções selecionadas, é necessário ingerir dados da AWS para o Google Security Operations e ativar as regras de detecção selecionadas. Para saber como configurar a ingestão dos dados da AWS, consulte Como ingerir registros da AWS no Google Security Operations na documentação do Google SecOps. Para saber como ativar as regras de detecção selecionadas, consulte Usar detecções selecionadas para identificar ameaças na documentação do Google SecOps.
Configure a ingestão de registros da AWS para CIEM
Para gerar descobertas no seu ambiente da AWS, os recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) precisam de dados dos registros do AWS CloudTrail.
Para usar o CIEM, faça o seguinte ao configurar a ingestão de registros da AWS.
Ao configurar o AWS CloudTrail, conclua a configuração a seguir etapas:
- Crie um rastro no nível da organização que extrai dados de registro de todas as contas da AWS no seu ambiente.
- Defina o bucket do S3 escolhido para a CIEM registrar eventos de dados e eventos de gerenciamento de todas as regiões. Em Além disso, selecione todos os serviços aplicáveis em que você quer ingerir dados eventos. Sem esses dados de evento, o CIEM não pode gerar e mais precisas para a AWS.
Ao configurar um feed para processar registros da AWS no console de operações de segurança, conclua as seguintes etapas de configuração:
- Crie um feed que colete todos os registros de conta do bucket do S3 para todas as regiões.
- Defina o par de chave-valor Rótulo de ingestão do feed como
CIEM
eTRUE
.
Se a ingestão de registros não for configurada corretamente, o CIEM
serviço de detecção pode exibir descobertas incorretas. Além disso, se houver
problemas com a configuração do CloudTrail, o Security Command Center exibe a
CIEM AWS CloudTrail configuration error
Para configurar a ingestão de registros, consulte Como ingerir registros da AWS no Google Security Operations na documentação do Google SecOps.
Para instruções completas sobre como ativar o CIEM, consulte Ativar o serviço de detecção do CIEM para a AWS. Para mais informações sobre os recursos do CIEM, consulte Visão geral do gerenciamento de direitos de infraestrutura do Cloud.