Connettiti ad AWS per l'importazione dei log

Security Command Center ha curato rilevamenti, indagini sulle minacce e Gestione dei diritti dell'infrastruttura cloud (CIEM) (anteprima) per Amazon Web Services (AWS) richiedono l'importazione di log AWS in Security Command Center. I tipi di log AWS richiesti per l'importazione variano in base per ciò che stai configurando:

  • CIEM richiede dati dal tipo di log AWS CloudTrail.
  • I rilevamenti selezionati richiedono i dati di più tipi di log AWS.

Per scoprire di più sui diversi tipi di log AWS, consulta Dispositivi e log supportati di classificazione.

Rilevamenti selezionati

Per i contenuti rilevamenti rilevati, ogni set di regole AWS richiede che determinati dati funzionino come previsto, tra cui uno o più di le seguenti:

  • Log AWS CloudTrail
  • GuardDuty AWS
  • Flusso VPC AWS
  • AWS CloudWatch
  • Pannello di sicurezza AWS
  • Dati contestuali AWS su host, servizi, VPC e utenti

Per utilizzare questi rilevamenti selezionati, devi importare i dati AWS in Google Security Operations, e poi attivare le regole di rilevamento selezionate. Per informazioni su come per configurare l'importazione dei dati AWS, consulta Importare i log AWS in Google Security Operations in la documentazione di Google SecOps. Per informazioni su come attivare regole di rilevamento selezionate. Consulta Utilizzare i rilevamenti selezionati per identificare minacce nel documentazione di Google SecOps.

Configura l'importazione dei log AWS per CIEM

Per generare risultati per il tuo ambiente AWS, il team CIEM (Cloud Infrastructure Entitlement Management) richiedono dati dai log AWS CloudTrail.

Per utilizzare CIEM, segui questi passaggi quando configuri l'importazione dei log AWS.

  1. Quando imposti AWS CloudTrail, completa la configurazione seguente passaggi:

    1. Crea un trail a livello di organizzazione che estragga i dati di log da tutti AWS nel tuo ambiente.
    2. Imposta il bucket S3 scelto per CIEM per registrare i dati eventi e eventi di gestione da tutte le regioni. Inoltre, seleziona tutti i servizi applicabili da cui vuoi importare eventi di dati. Senza questi dati sugli eventi CIEM non può generare risultati accurati per AWS.

  2. Quando imposti un feed per importare i log AWS nella console Security Operations, completa i seguenti passaggi di configurazione:

    1. Crea un feed che importi tutti i log dell'account dal bucket S3 per tutti regioni.
    2. Imposta la coppia chiave-valore Etichetta di importazione del feed su CIEM. e TRUE.

Se non configuri correttamente l'importazione dei log, di rilevamento potrebbe mostrare risultati errati. Inoltre, se ci sono problemi con la configurazione di CloudTrail, Security Command Center visualizza CIEM AWS CloudTrail configuration error.

Per configurare l'importazione dei log, consulta Importare i log AWS in Operazioni di sicurezza di Google nella documentazione di Google SecOps.

Per istruzioni complete sull'abilitazione di CIEM, consulta Abilitare il Rilevamento CIEM per AWS. Per ulteriori informazioni sulle funzionalità CIEM, consulta la Panoramica delle Gestione dei diritti dell'infrastruttura cloud.