Les détections sélectionnées, l'investigation des menaces et les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) (Preview) de Security Command Center pour Amazon Web Services (AWS) nécessitent l'ingestion des journaux AWS à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux AWS requis pour l'ingestion diffèrent en fonction ce que vous configurez:
- La CIEM nécessite des données provenant du type de journal AWS CloudTrail.
- Les détections sélectionnées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez la section Appareils et types de journaux compatibles.
Détections sélectionnées
Pour les détections sélectionnées, chaque ensemble de règles AWS nécessite certaines données pour fonctionner comme prévu, y compris un ou plusieurs des éléments suivants :
- Journaux AWS CloudTrail
- AWS GuardDuty
- Données contextuelles AWS sur les hôtes, les services, les VPC et les utilisateurs
Pour utiliser ces sélections de détections, vous devez ingérer des données AWS dans Google Security Operations, puis activer les règles de détection organisées. Pour savoir comment configurer l'ingestion des données AWS, consultez la section Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps. Pour savoir comment activer les règles de détection sélectionnées, consultez Utiliser les détections sélectionnées pour identifier les menaces. dans la documentation Google SecOps.
Configurer l'ingestion de journaux AWS pour CIEM
Pour générer des résultats pour votre environnement AWS, les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) nécessitent des données issues des journaux AWS CloudTrail.
Pour utiliser le CIEM, procédez comme suit lorsque vous configurez l'ingestion des journaux AWS.
Lors de la configuration d'AWS CloudTrail, effectuez la configuration suivante étapes:
- Créez un suivi au niveau de l'organisation qui extrait les données des journaux de toutes les comptes AWS de votre environnement.
- Définissez le bucket S3 que vous choisissez pour que CIEM consigne les événements de données et les événements de gestion de toutes les régions. Dans sélectionnez tous les services pour lesquels vous souhaitez ingérer des données des événements. Sans ces données d'événement, CIEM ne peut pas générer des résultats précis pour AWS.
Lorsque vous configurez un flux pour ingérer les journaux AWS dans la console Opérations de sécurité, procédez comme suit:
- Créez un flux qui ingère tous les journaux de compte à partir du bucket S3 pour toutes les régions.
- Définissez la paire clé-valeur Libellé d'ingestion du flux sur
CIEMetTRUE.
Si vous ne configurez pas correctement l'ingestion de journaux,
de détection peut afficher des résultats incorrects. De plus, en cas de problème avec votre configuration CloudTrail, Security Command Center affiche le CIEM AWS CloudTrail configuration error.
Pour configurer l'ingestion des journaux, consultez Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation de CIEM, consultez Activez le service de détection CIEM pour AWS. Pour en savoir plus sur les fonctionnalités CIEM, consultez Présentation de la gestion des droits d'accès à l'infrastructure cloud