Security Command Center ha curato rilevamenti, indagini sulle minacce e Funzionalità di gestione dei diritti dell'infrastruttura cloud (CIEM) (anteprima) per Amazon Web Services (AWS) richiede l'importazione dei log AWS tramite la Security Operations Console di importazione dati. I tipi di log AWS richiesti per l'importazione variano in base a ciò che stai configurando:
- CIEM richiede i dati del tipo di log AWS CloudTrail.
- I rilevamenti selezionati richiedono i dati di più tipi di log AWS.
Per scoprire di più sui diversi tipi di log AWS, consulta Dispositivi e tipi di log supportati.
Rilevamenti selezionati
Per rilevamenti selezionati, ogni set di regole AWS richiede che determinati dati funzionino come previsto, tra cui uno o più seguenti:
- Log di AWS CloudTrail
- AWS GuardDuty
- Dati di contesto AWS su host, servizi, VPC e utenti
Per utilizzare questi rilevamenti selezionati, devi importare i dati AWS in Google Security Operations, e poi attivare le regole di rilevamento selezionate. Per informazioni su come e configurare l'importazione dei dati AWS, Importa i log AWS in Google Security Operations nella documentazione di Google SecOps. Per informazioni su come attivare le regole di rilevamento selezionate, consulta Utilizzare i rilevamenti selezionati per identificare le minacce nella documentazione di Google SecOps.
Configura l'importazione dei log AWS per CIEM
Per generare risultati per il tuo ambiente AWS, il team CIEM (Cloud Infrastructure Entitlement Management) richiedono dati dai log AWS CloudTrail.
Per utilizzare CIEM, procedi nel seguente modo durante la configurazione dell'importazione dei log AWS.
Quando imposti AWS CloudTrail, completa la configurazione seguente passaggi:
- Crea un percorso a livello di organizzazione che estrae i dati dei log da tutti gli account AWS nel tuo ambiente.
- Imposta il bucket S3 che scegli per CIEM in modo che registri eventi relativi ai dati ed eventi di gestione da tutte le regioni. Nella Inoltre, seleziona tutti i servizi applicabili di cui vuoi importare i dati eventi da. Senza questi dati sull'evento, CIEM non può generare risultati accurati per AWS.
Quando configuri un feed per importare i log AWS nella console Security Operations, completa i seguenti passaggi di configurazione:
- Crea un feed che importi tutti i log dell'account dal bucket S3 per tutte le regioni.
- Imposta la coppia chiave-valore Etichetta di importazione del feed su
CIEMeTRUE.
Se non configuri correttamente l'importazione dei log, il servizio di rilevamento CIEM potrebbe mostrare risultati errati. Inoltre, se si verificano problemi con la configurazione di CloudTrail, Security Command Center mostra il messaggio CIEM AWS CloudTrail configuration error.
Per configurare l'importazione dei log, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps.
Per istruzioni complete sull'attivazione di CIEM, consulta Attivare il servizio di rilevamento CIEM per AWS. Per saperne di più sulle funzionalità di CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.