Kemampuan deteksi, investigasi ancaman, dan Cloud Infrastructure Entitlement Management (CIEM) yang diseleksi Security Command Center untuk Amazon Web Services (AWS) memerlukan penyerapan log AWS menggunakan pipeline penyerapan konsol Security Operations. Jenis log AWS yang diperlukan untuk penyerapan berbeda-beda berdasarkan hal yang Anda konfigurasikan:
- CIEM memerlukan data dari jenis log AWS CloudTrail.
- Deteksi pilihan memerlukan data dari beberapa jenis log AWS.
Untuk mempelajari lebih lanjut berbagai jenis log AWS, lihat Perangkat dan jenis log yang didukung.
Deteksi pilihan
Untuk deteksi yang diseleksi, setiap kumpulan aturan AWS memerlukan data tertentu agar berfungsi seperti yang dirancang, termasuk satu atau beberapa hal berikut:
- Log AWS CloudTrail
- AWS GuardDuty
- Data konteks AWS tentang host, layanan, VPC, dan pengguna
Untuk menggunakan deteksi pilihan ini, Anda harus menyerap data AWS ke Google Security Operations, lalu mengaktifkan aturan deteksi pilihan. Untuk mengetahui informasi tentang cara mengonfigurasi penyerapan data AWS, lihat Menyerap log AWS ke Google Security Operations dalam dokumentasi Google SecOps. Untuk mengetahui informasi tentang cara mengaktifkan aturan deteksi yang diseleksi, lihat Menggunakan deteksi yang diseleksi untuk mengidentifikasi ancaman dalam dokumentasi Google SecOps.
Mengonfigurasi penyerapan log AWS untuk CIEM
Untuk menghasilkan temuan bagi lingkungan AWS Anda, kemampuan Cloud Infrastructure Entitlement Management (CIEM) memerlukan data dari log AWS CloudTrail.
Untuk menggunakan CIEM, lakukan hal berikut saat mengonfigurasi penyerapan log AWS.
Saat menyiapkan AWS CloudTrail, selesaikan langkah-langkah konfigurasi berikut:
- Buat pelacakan tingkat organisasi yang mengambil data log dari semua akun AWS di lingkungan Anda.
- Tetapkan bucket S3 yang Anda pilih untuk CIEM guna mencatat log peristiwa data dan peristiwa pengelolaan dari semua region. Selain itu, pilih semua layanan yang berlaku yang ingin Anda gunakan untuk menyerap peristiwa data. Tanpa data peristiwa ini, CIEM tidak dapat menghasilkan temuan yang akurat untuk AWS.
Saat menyiapkan feed untuk menyerap log AWS di konsol Security Operations, selesaikan langkah-langkah konfigurasi berikut:
- Buat feed yang menyerap semua log akun dari bucket S3 untuk semua region.
- Tetapkan pasangan nilai kunci Label penyerapan feed ke
CIEM
danTRUE
.
Jika Anda tidak mengonfigurasi penyerapan log dengan benar, layanan deteksi CIEM
mungkin menampilkan temuan yang salah. Selain itu, jika ada masalah dengan konfigurasi CloudTrail, Security Command Center akan menampilkan CIEM AWS CloudTrail configuration error
.
Untuk mengonfigurasi penyerapan log, lihat Menyerap log AWS ke Google Security Operations dalam dokumentasi Google SecOps.
Untuk mengetahui petunjuk lengkap tentang cara mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM untuk AWS. Untuk mengetahui informasi selengkapnya tentang fitur CIEM, lihat Ringkasan Pengelolaan Hak Izin Infrastruktur Cloud.