로그 데이터 수집을 위해 AWS에 연결

Amazon Web Services (AWS)용 Security Command Center 선별된 감지, 위협 조사, 클라우드 인프라 사용 권한 관리(CIEM) 기능을 사용하려면 Google SecOps 수집 파이프라인을 사용해서 AWS 로그를 수집해야 합니다. 수집에 필요한 AWS 로그 유형은 구성 중인 항목에 따라 다릅니다.

• CIEM에는 AWS CloudTrail 로그 유형의 데이터가 필요합니다.
• 선별된 감지를 사용하려면 여러 AWS 로그 유형의 데이터가 필요합니다.

다양한 AWS 로그 유형에 관한 자세한 내용은 지원되는 기기 및 로그 유형을 참고하세요.

CIEM용 AWS 로그 수집 구성

AWS 환경의 발견 항목을 생성하려면 클라우드 인프라 사용 권한 관리(CIEM) 기능에 AWS CloudTrail 로그의 데이터가 필요합니다.

CIEM을 사용하려면 AWS 로그 수집을 구성할 때 다음을 수행합니다.

1. AWS CloudTrail을 설정할 때 다음 구성 단계를 완료합니다.

   1. 다음 중 하나를 만듭니다.

      • 모든 AWS 계정에서 로그 데이터를 가져오는 조직 수준 트레일

      • 선택한 AWS 계정에서 로그 데이터를 가져오는 계정 수준 트레일

   2. CIEM에 선택한 Amazon S3 버킷 또는 Amazon SQS 큐를 설정하여 모든 리전의 관리 이벤트를 로깅합니다.

2. Security Operations 콘솔 피드 페이지를 사용하여 AWS 로그를 수집하도록 피드를 설정할 때 다음 구성 단계를 완료합니다.

   1. 모든 리전의 Amazon S3 버킷 또는 Amazon SQS 대기열에서 모든 계정 로그를 수집하는 피드를 만듭니다.

   2. 다음 옵션 중 하나를 사용하여 피드 소스 유형에 따라 피드 수집 라벨 키-값 쌍을 설정합니다.

      • 소스 유형이 Amazon S3인 경우 다음 중 하나를 구성합니다.

        • 15분마다 데이터를 추출하려면 라벨을 CIEM로, 값을 TRUE로 설정합니다. 15분의 데이터 지연 시간이 허용되는 다른 Security Command Center 서비스에 이 피드를 재사용할 수 있습니다.
        • 12시간마다 데이터를 추출하려면 라벨을 CIEM_EXCLUSIVE로, 값을 TRUE로 설정합니다. 이 옵션은 24시간 데이터 지연 시간이 허용되는 CIEM 및 기타 잠재적인 Security Command Center 서비스에 적합합니다.

      • 소스 유형이 Amazon SQS인 경우 라벨을 CIEM로, 값을 TRUE로 설정합니다.

로그 수집을 올바르게 구성하지 않으면 CIEM 감지 서비스에 잘못된 결과가 표시될 수 있습니다. 또한 CloudTrail 구성에 문제가 있으면 Security Command Center에 CIEM AWS CloudTrail configuration error 아이콘이 표시됩니다.

로그 수집을 구성하려면 Google SecOps 문서의 Google Security Operations에 AWS 로그 수집을 참조하세요.

CIEM 사용 설정에 대한 자세한 내용은 AWS용 CIEM 감지 서비스 사용 설정을 참조하세요. CIEM 기능에 대한 자세한 내용은 클라우드 인프라 사용 권한 관리 개요를 참조하세요.

선별된 감지를 위한 AWS 로그 수집 구성

Security Command Center Enterprise에서 제공되는 선별된 감지 기능은 이벤트 데이터와 컨텍스트 데이터를 모두 사용하여 AWS 환경의 위협을 식별하는 데 도움이 됩니다.

각 AWS 규칙 집합에는 다음 소스 중 하나 이상을 포함하여 설계된 대로 작동할 특정 데이터가 필요합니다.

• AWS CloudTrail
• AWS GuardDuty
• 호스트, 서비스, VPC에 대한 AWS 컨텍스트 데이터입니다.
• AWS Identity and Access Management

이러한 선별된 감지를 사용하려면 AWS 로그 데이터를 Google SecOps 테넌트로 수집한 다음 선별된 감지 규칙을 사용 설정해야 합니다.

자세한 내용은 Google SecOps 문서의 다음을 참조하세요.

• AWS에서 지원되는 기기 및 로그 유형: AWS 규칙 집합에 필요한 데이터에 관한 정보입니다.

• Google Security Operations에 AWS 로그 수집: AWS CloudTrail 로그를 수집하는 단계

• AWS 데이터에 대한 선별된 감지: 클라우드 위협 선별된 감지에 포함된 AWS 규칙 집합의 요약입니다.

• 선별된 감지를 사용하여 위협 식별: Google SecOps에서 선별된 감지를 사용하는 방법입니다.

Security Command Center Enterprise를 사용하는 고객이 Google SecOps 테넌트에 수집할 수 있는 로그 데이터 유형에 관한 자세한 내용은 Google Cloud 서비스 등급을 참고하세요.