Security Command Center selecciona detecciones, investigación de amenazas y Administración de derechos de la infraestructura de nube (CIEM) (versión preliminar) para Amazon Web Services (AWS) requieren la transferencia de registros de AWS en Security Command Center. Los tipos de registros de AWS necesarios para la transferencia difieren según en lo que estás configurando:
- CIEM requiere datos del tipo de registro de AWS CloudTrail.
- Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.
Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Dispositivos y registros compatibles de la API de Google Ads.
Detecciones seleccionadas
Para contenido seleccionado detecciones, cada conjunto de reglas de AWS requiere que ciertos datos funcionen según lo diseñado, incluidos uno o más de lo siguiente:
- Registros de AWS CloudTrail
- AWS GuardDuty
- Flujo de VPC de AWS
- AWS CloudWatch
- Centro de seguridad de AWS
- Datos del contexto de AWS sobre hosts, servicios, VPC y usuarios
Para usar estas detecciones seleccionadas, debe transferir los datos de AWS a Google Security Operations, y habilitar las reglas de detección. Para obtener información sobre cómo configura la transferencia de los datos de AWS; consulta Transfiere registros de AWS a Google Security Operations la documentación de Google SecOps. Para obtener información sobre cómo habilitar reglas de detección seleccionadas, consulte Use detecciones seleccionadas para identificar este tipo de amenazas Documentación de Google SecOps.
Configura la transferencia de registros de AWS para CIEM
Para generar resultados para tu entorno de AWS, Cloud Infrastructure Entitlement Management (CIEM) requieren datos de los registros de AWS CloudTrail.
Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.
Cuando configures el CloudTrail de AWS, completa la siguiente configuración pasos:
- Crear un registro a nivel de la organización que extraiga datos de registro de todos los Cuentas de AWS en tu entorno.
- Configura el bucket de S3 que elijas para que CIEM registre los datos eventos y de administración de todas las regiones. Además, selecciona todos los servicios aplicables desde los que quieres transferir eventos de datos. Sin estos datos de eventos CIEM no puede generar resultados precisos para AWS.
Cuando configuras un feed para transferir registros de AWS en la consola de operaciones de seguridad, completa los siguientes pasos de configuración:
- Crear un feed que transfiera todos los registros de las cuentas del bucket de S3 para todos regiones.
- Establece el par clave-valor Etiqueta de transferencia del feed en
CIEM. yTRUE.
Si no configuras la transferencia de registros de forma correcta,
del servicio de detección
podría mostrar resultados incorrectos. Además, si hay
problemas con tu configuración de CloudTrail, Security Command Center muestra
CIEM AWS CloudTrail configuration
error.
Para configurar la transferencia de registros, consulta Transfiere registros de AWS a Google Security Operations en la documentación de Google SecOps.
Para obtener instrucciones completas sobre cómo habilitar CIEM, consulta Habilita la Detección de CIEM para AWS. Para ver más información sobre las funciones de CIEM, consulta la Descripción general de Administración de derechos de la infraestructura de nube.