Amazon Web Services(AWS)용 Security Command Center 선별된 감지, 위협 조사, 클라우드 인프라 사용 권한 관리(CIEM)(미리보기 기능을 사용하려면 AWS 로그를 Security Command Center로 수집해야 합니다. 수집에 필요한 AWS 로그 유형은 구성 중인 항목에 따라 다릅니다.
- CIEM에는 AWS CloudTrail 로그 유형의 데이터가 필요합니다.
- 선별된 감지에는 여러 AWS 로그 유형의 데이터가 필요합니다.
다양한 AWS 로그 유형에 대한 자세한 내용은 지원되는 기기 및 로그 유형을 참조하세요.
선별된 감지
선별된 감지의 경우 각 AWS 규칙 집합에는 다음 중 하나 이상을 포함하여 설계된 대로 작동할 특정 데이터가 필요합니다.
- AWS CloudTrail 로그
- AWS GuardDuty
- AWS VPC 흐름
- AWS CloudWatch
- AWS Security Hub
- 호스트, 서비스, VPC, 사용자에 대한 AWS 문맥 데이터
이러한 선별된 감지를 사용하려면 AWS 데이터를 Google Security Operations로 수집한 후 선별된 감지 규칙을 사용 설정해야 합니다. AWS 데이터 수집을 구성하는 방법에 대한 자세한 내용은 Google SecOps 문서의 Google Security Operations에 AWS 로그 수집을 참조하세요. 선별된 감지 규칙을 사용 설정하는 방법에 대한 자세한 내용은 Google SecOps 문서의 선별된 감지를 사용하여 위협 식별을 참조하세요.
CIEM용 AWS 로그 수집 구성
AWS 환경의 발견 항목을 생성하려면 클라우드 인프라 사용 권한 관리(CIEM) 기능에 AWS CloudTrail 로그의 데이터가 필요합니다.
CIEM을 사용하려면 AWS 로그 수집을 구성할 때 다음을 수행합니다.
AWS CloudTrail을 설정할 때 다음 구성 단계를 완료하세요.
- 환경의 모든 AWS 계정에서 로그 데이터를 가져오는 조직 수준 추적을 만듭니다.
- CIEM이 모든 리전의 데이터 이벤트 및 관리 이벤트를 로깅하도록 선택한 S3 버킷을 설정합니다. 또한 데이터 이벤트를 수집할 적용 가능한 모든 서비스를 선택합니다. 이 이벤트 데이터가 없으면 CIEM에서 AWS에 대한 정확한 발견 항목을 생성할 수 없습니다.
보안 운영 콘솔에서 AWS 로그를 수집하도록 피드를 설정할 때 다음 구성 단계를 완료합니다.
- 모든 리전의 S3 버킷에서 모든 계정 로그를 수집하는 피드를 만듭니다.
- 피드 수집 라벨 키-값 쌍을
CIEM
및TRUE
로 설정합니다.
로그 수집을 올바르게 구성하지 않으면 CIEM 감지 서비스에 잘못된 발견 항목이 표시될 수 있습니다. 또한 CloudTrail 구성에 문제가 있으면 Security Command Center에 CIEM AWS CloudTrail configuration
error
가 표시됩니다.
로그 수집을 구성하려면 Google SecOps 문서에서 Google Security Operations에 AWS 로그 수집을 참조하세요.
CIEM 사용 설정에 대한 자세한 안내는 AWS용 CIEM 감지 서비스 사용 설정을 참조하세요. CIEM 기능에 대한 자세한 내용은 클라우드 인프라 사용 권한 관리 개요를 참조하세요.