Verbindung zu AWS für die Logaufnahme herstellen

Das Security Command Center kuratierte Erkennungsmechanismen, Bedrohungsuntersuchungen und Cloud Infrastructure Entitlement Management (CIEM) (Vorschau) Funktionen für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs in Security Command Center. Die für die Aufnahme erforderlichen AWS-Logtypen unterscheiden sich je nach was Sie konfigurieren:

  • CIEM erfordert Daten aus dem AWS CloudTrail-Logtyp.
  • Ausgewählte Erkennungen erfordern Daten aus mehreren AWS-Logtypen.

Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Protokolle .

Ausgewählte Erkennungen

Für ausgewählte Erkennungen, jeder AWS-Regelsatz benötigt bestimmte Daten, um wie vorgesehen zu funktionieren, einschließlich eines oder mehrerer Folgendes:

  • AWS CloudTrail-Logs
  • AWS GuardDuty
  • AWS-VPC-Datenfluss
  • AWS CloudWatch
  • AWS-Sicherheits-Hub
  • AWS-Kontextdaten zu Hosts, Diensten, VPC und Nutzern

Damit Sie diese ausgewählten Erkennungsmechanismen verwenden können, müssen Sie AWS-Daten in Google Security Operations aufnehmen, und aktivieren Sie dann die kuratierten Erkennungsregeln. Informationen zur Konfigurieren Sie die Aufnahme von AWS-Daten, siehe AWS-Logs aufnehmen in Google Security Operations in in der Google SecOps-Dokumentation. Informationen zum Aktivieren Ausgewählte Erkennungsregeln finden Sie im Hilfeartikel Ausgewählte Erkennungsregeln verwenden, um Bedrohungen in der Google SecOps-Dokumentation

AWS-Logaufnahme für CIEM konfigurieren

Zum Generieren von Ergebnissen für Ihre AWS-Umgebung führt das Cloud Infrastructure Entitlement Management (CIEM) Funktionen erfordern Daten aus AWS CloudTrail-Logs.

Wenn Sie CIEM verwenden möchten, gehen Sie bei der Konfiguration der AWS-Logaufnahme so vor:

  1. Führen Sie bei der Einrichtung Ihres AWS CloudTrail die folgende Konfiguration durch Schritte:

    1. Erstellen Sie einen Pfad auf Organisationsebene, der Protokolldaten aus allen AWS-Konten in Ihrer Umgebung.
    2. Legen Sie den S3-Bucket fest, den Sie für CIEM auswählen, um Daten zu protokollieren. Events und Managementveranstaltungen aus allen Regionen. Wählen Sie außerdem Alle anwendbaren Dienste, aus denen Sie Datenereignisse aufnehmen möchten. Ohne diese Ereignisdaten, für die CIEM keine genauen Ergebnisse generieren kann. AWS.

  2. Wenn Sie einen Feed zur Aufnahme von AWS-Logs in der Security Operations-Konsole einrichten, führen Sie die folgenden Konfigurationsschritte aus:

    1. Erstellen Sie einen Feed, der alle Kontoprotokolle aus dem S3-Bucket für alle Regionen
    2. Das Schlüssel/Wert-Paar Aufnahmelabel des Feeds auf CIEM festlegen und TRUE.

Wenn Sie die Logaufnahme nicht richtig konfigurieren, Erkennungsdienst zeigt möglicherweise falsche Ergebnisse an. Wenn es zudem Probleme mit Ihrer CloudTrail-Konfiguration auftreten, zeigt Security Command Center CIEM AWS CloudTrail configuration error

Informationen zum Konfigurieren der Logaufnahme finden Sie unter AWS-Logs aufnehmen in Google Security Operations in der Google SecOps-Dokumentation.

Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter Aktivieren des CIEM-Erkennung -Dienst für AWS Weitere Informationen Informationen zu CIEM-Funktionen finden Sie in der Übersicht über Berechtigungsverwaltung für Cloud-Infrastruktur.