Las detecciones seleccionadas de Security Command Center, la investigación de amenazas y las funciones de Cloud Infrastructure Entitlement Management (CIEM) (versión preliminar) para Amazon Web Services (AWS) requieren la transferencia de los registros de AWS a Security Command Center. Los tipos de registros de AWS necesarios para la transferencia difieren según lo que configures:
- CIEM requiere datos del tipo de registro de AWS CloudTrail.
- Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.
Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Dispositivos y tipos de registros compatibles.
Detecciones seleccionadas
Para las detecciones seleccionadas, cada conjunto de reglas de AWS requiere que ciertos datos funcionen según lo diseñado, incluidos uno o más de los siguientes:
- Registros de AWS CloudTrail
- AWS GuardDuty
- Flujo de VPC de AWS
- AWS CloudWatch
- Centro de seguridad de AWS
- Datos del contexto de AWS sobre hosts, servicios, VPC y usuarios
Para usar estas detecciones seleccionadas, debes transferir los datos de AWS a Google Security Operations y, luego, habilitar las reglas de detección seleccionadas. Para obtener información sobre cómo configurar la transferencia de los datos de AWS, consulta Transfiere registros de AWS a Google Security Operations en la documentación de Google SecOps. Si quieres obtener información para habilitar las reglas de detección seleccionadas, consulta Usa detecciones seleccionadas para identificar amenazas en la documentación de Google SecOps.
Configura la transferencia de registros de AWS para CIEM
A fin de generar resultados para tu entorno de AWS, las capacidades de administración de derechos de la infraestructura de nube (CIEM) requieren datos de los registros de CloudTrail de AWS.
Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.
Cuando configures el CloudTrail de AWS, completa los siguientes pasos de configuración:
- Crea un registro a nivel de la organización que extraiga datos de registro de todas las cuentas de AWS en tu entorno.
- Configura el bucket de S3 que elijas para que CIEM registre los eventos de datos y los eventos de administración de todas las regiones. Además, selecciona todos los servicios aplicables desde los que desees transferir eventos de datos. Sin estos datos de eventos, CIEM no puede generar resultados precisos para AWS.
Cuando configures un feed para transferir registros de AWS en la consola de operaciones de seguridad, completa los siguientes pasos de configuración:
- Crea un feed que transfiera todos los registros de cuentas del bucket de S3 para todas las regiones.
- Establece el par clave-valor Etiqueta de transferencia del feed en
CIEMyTRUE.
Si no configuras la transferencia de registros de forma correcta, el servicio de detección de CIEM puede mostrar resultados incorrectos. Además, si hay problemas con la configuración de CloudTrail, Security Command Center muestra CIEM AWS CloudTrail configuration
error.
Para configurar la transferencia de registros, consulta Transfiere registros de AWS a Google Security Operations en la documentación de Google SecOps.
Si deseas obtener instrucciones completas sobre cómo habilitar CIEM, consulta Habilita el servicio de detección de CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de la administración de derechos de la infraestructura de nube.