Os recursos selecionados de detecções, investigação de ameaças e gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês) (pré-lançamento) do Security Command Center para a Amazon Web Services (AWS) exigem a ingestão de registros da AWS no Security Command Center. Os tipos de registro da AWS necessários para ingestão diferem com base no que você está configurando:
- O CIEM exige dados do tipo de registro AWS CloudTrail.
- As detecções selecionadas exigem dados de vários tipos de registro da AWS.
Para saber mais sobre os diferentes tipos de registro da AWS, consulte Dispositivos e tipos de registros compatíveis.
Detecções selecionadas
Para detecções curadas, cada conjunto de regras da AWS exige que determinados dados funcionem conforme projetado, incluindo um ou mais dos seguintes:
- Registros do AWS CloudTrail
- AWS GuardDuty
- Fluxo de VPC da AWS
- CloudWatch da AWS
- Central de segurança da AWS
- Dados de contexto da AWS sobre hosts, serviços, VPC e usuários
Para usar essas detecções selecionadas, você precisa ingerir dados da AWS no Google Security Operations e ativar as regras de detecção selecionadas. Para informações sobre como configurar a ingestão de dados da AWS, consulte Ingerir registros da AWS no Google Security Operations na documentação do Google SecOps. Para informações sobre como ativar regras de detecção selecionadas, consulte Usar detecções selecionadas para identificar ameaças na documentação do Google SecOps.
Configure a ingestão de registros da AWS para CIEM
Para gerar descobertas para seu ambiente da AWS, os recursos do Cloud Infrastructure Entitlement Management (CIEM) exigem dados dos registros do AWS CloudTrail.
Para usar o CIEM, faça o seguinte ao configurar a ingestão de registros da AWS.
Ao configurar o AWS CloudTrail, conclua as etapas de configuração a seguir:
- Crie uma trilha no nível da organização que extraia dados de registro de todas as contas da AWS no seu ambiente.
- Defina o bucket do S3 escolhido para o CIEM registrar eventos de dados e eventos de gerenciamento de todas as regiões. Além disso, selecione todos os serviços aplicáveis dos quais você quer ingerir eventos de dados. Sem esses dados de evento, o CIEM não consegue gerar descobertas precisas para a AWS.
Ao configurar um feed para ingerir registros da AWS no console de operações de segurança, conclua as seguintes etapas de configuração:
- Crie um feed que processe todos os registros da conta do bucket S3 para todas as regiões.
- Defina o par de chave-valor do rótulo de ingestão do feed como
CIEMeTRUE.
Se você não configurar a ingestão de registros corretamente, o serviço de detecção CIEM poderá exibir descobertas incorretas. Além disso, se houver
problemas com a configuração do CloudTrail, o Security Command Center exibirá o
CIEM AWS CloudTrail configuration
error.
Para configurar a ingestão de registros, consulte Ingerir registros da AWS no Google Security Operations na documentação do Google SecOps.
Para instruções completas sobre como ativar o CIEM, consulte Ativar o serviço de detecção de CIEM para a AWS. Para mais informações sobre os recursos do CIEM, consulte a Visão geral do gerenciamento de direitos de infraestrutura do Cloud.