Les détections sélectionnées, l'investigation des menaces et les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) de Security Command Center pour Amazon Web Services (AWS) nécessitent l'ingestion des journaux AWS à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux AWS requis pour l'ingestion varient en fonction de ce que vous configurez:
- Le CIEM nécessite des données du type de journal AWS CloudTrail.
- Les détections sélectionnées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez la section Appareils et types de journaux compatibles.
Détections sélectionnées
Pour les détections sélectionnées, chaque ensemble de règles AWS nécessite certaines données pour fonctionner comme prévu, y compris une ou plusieurs des données suivantes:
- Journaux AWS CloudTrail
- AWS GuardDuty
- Données contextuelles AWS sur les hôtes, les services, les VPC et les utilisateurs
Pour utiliser ces détections sélectionnées, vous devez ingérer les données AWS dans Google Security Operations, puis activer les règles de détection sélectionnées. Pour savoir comment configurer l'ingestion des données AWS, consultez la section Ingestion des journaux AWS dans Google Security Operations dans la documentation Google SecOps. Pour savoir comment activer les règles de détection sélectionnées, consultez la section Utiliser des détections sélectionnées pour identifier les menaces dans la documentation Google SecOps.
Configurer l'ingestion de journaux AWS pour CIEM
Pour générer des résultats pour votre environnement AWS, les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) nécessitent des données issues des journaux AWS CloudTrail.
Pour utiliser CIEM, procédez comme suit lorsque vous configurez l'ingestion de journaux AWS.
Lorsque vous configurez AWS CloudTrail, procédez comme suit:
- Créez l'un des éléments suivants :
- Une piste au niveau de l'organisation qui extrait les données de journal de tous les comptes AWS.
- Une piste au niveau du compte qui extrait les données de journal de certains comptes AWS.
- Définissez le bucket S3 que vous choisissez pour le CIEM afin de consigner les événements de gestion de toutes les régions.
- Créez l'un des éléments suivants :
Lorsque vous configurez un flux pour ingérer des journaux AWS dans la console Security Operations, procédez comme suit:
- Créez un flux qui ingère tous les journaux de compte du bucket S3 pour toutes les régions.
- Définissez la paire clé-valeur Libellé d'ingestion du flux sur
CIEMetTRUE.
Si vous ne configurez pas correctement l'ingestion des journaux, le service de détection CIEM peut afficher des résultats incorrects. De plus, en cas de problème avec votre configuration CloudTrail, Security Command Center affiche le CIEM AWS CloudTrail configuration error.
Pour configurer l'ingestion de journaux, consultez Ingestion des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation du CIEM, consultez la page Activer le service de détection CIEM pour AWS. Pour en savoir plus sur les fonctionnalités de CIEM, consultez la section Présentation de Cloud Infrastructure Entitlement Management.