Verbindung zu AWS für die Logaufnahme herstellen

Die von Security Command Center ausgewählten Funktionen für Erkennungen, Bedrohungsanalysen und Cloud Infrastructure Entitlement Management (CIEM) (Vorabversion) für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs in Security Command Center. Welche AWS-Logtypen für die Aufnahme erforderlich sind, hängt davon ab, was Sie konfigurieren:

  • CIEM erfordert Daten aus dem AWS CloudTrail-Logtyp.
  • Ausgewählte Erkennungen erfordern Daten aus mehreren AWS-Logtypen.

Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Logtypen.

Ausgewählte Erkennungen

Für kuratierte Erkennungen erfordert jeder AWS-Regelsatz, dass bestimmte Daten wie vorgesehen funktionieren, darunter eines oder mehrere der folgenden:

  • AWS CloudTrail-Logs
  • AWS GuardDuty
  • AWS-VPC-Datenfluss
  • AWS CloudWatch
  • AWS-Sicherheits-Hub
  • AWS-Kontextdaten zu Hosts, Diensten, VPC und Nutzern

Damit Sie diese ausgewählten Erkennungen verwenden können, müssen Sie AWS-Daten in Google Security Operations aufnehmen und dann die ausgewählten Erkennungsregeln aktivieren. Informationen zum Konfigurieren der Aufnahme von AWS-Daten finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen. Informationen zum Aktivieren ausgewählter Erkennungsregeln finden Sie in der Google SecOps-Dokumentation unter Ausgewählte Erkennungsregeln zum Erkennen von Bedrohungen verwenden.

AWS-Logaufnahme für CIEM konfigurieren

Zum Generieren von Ergebnissen für Ihre AWS-Umgebung benötigen die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) Daten aus AWS CloudTrail-Logs.

Wenn Sie CIEM verwenden möchten, gehen Sie bei der Konfiguration der AWS-Logaufnahme so vor:

  1. Führen Sie beim Einrichten Ihres AWS CloudTrail die folgenden Konfigurationsschritte aus:

    1. Erstellen Sie einen Pfad auf Organisationsebene, mit dem Logdaten aus allen AWS-Konten in Ihrer Umgebung abgerufen werden.
    2. Legen Sie den S3-Bucket fest, den Sie für CIEM auswählen, um Datenereignisse und Verwaltungsereignisse aus allen Regionen zu protokollieren. Wählen Sie außerdem alle anwendbaren Dienste aus, aus denen Sie Datenereignisse aufnehmen möchten. Ohne diese Ereignisdaten kann CIEM keine genauen Ergebnisse für AWS generieren.

  2. Wenn Sie einen Feed zur Aufnahme von AWS-Logs in der Security Operations-Konsole einrichten, führen Sie die folgenden Konfigurationsschritte aus:

    1. Erstellen Sie einen Feed, der alle Kontologs aus dem S3-Bucket für alle Regionen aufnimmt.
    2. Lege für das Schlüssel/Wert-Paar Aufnahmelabel des Feeds CIEM und TRUE fest.

Wenn Sie die Logaufnahme nicht richtig konfigurieren, zeigt der CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse an. Bei Problemen mit Ihrer CloudTrail-Konfiguration zeigt Security Command Center außerdem CIEM AWS CloudTrail configuration error an.

Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.

Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Features finden Sie in der Übersicht über Cloud Infrastructure Entitlement Management.