Esta página foi traduzida pela API Cloud Translation.

Associe-se à AWS para a recolha de dados de registo

As deteções organizadas, a investigação de ameaças e as capacidades de gestão de autorizações da infraestrutura na nuvem (CIEM) do Security Command Center para os serviços Web da Amazon (AWS) requerem a ingestão de registos da AWS através do pipeline de ingestão do Google SecOps. Os tipos de registos da AWS necessários para o carregamento diferem consoante o que estiver a configurar:

A CIEM requer dados do tipo de registo do AWS CloudTrail.
As deteções organizadas requerem dados de vários tipos de registos da AWS.

Para saber mais sobre os diferentes tipos de registos da AWS, consulte o artigo Dispositivos e tipos de registos compatíveis.

Configure a ingestão de registos da AWS para a CIEM

Para gerar resultados para o seu ambiente da AWS, as capacidades de gestão de autorizações da infraestrutura na nuvem (CIEM) requerem dados dos registos do AWS CloudTrail.

Para usar a CIEM, faça o seguinte ao configurar o carregamento de registos da AWS.

Quando configurar o AWS CloudTrail, conclua os seguintes passos de configuração:
1. Crie um dos seguintes elementos:
  - Uma trilha ao nível da organização que extrai dados de registo de todas as contas da AWS.
  - Uma trilha ao nível da conta que extrai dados de registo de contas da AWS selecionadas.
    
    Nota: para uma trilha ao nível da conta, o Security Command Center não consegue detetar todos os riscos de movimento lateral.
2. Defina o contentor do Amazon S3 ou a fila do Amazon SQS que escolher para o CIEM registar eventos de gestão de todas as regiões.
Quando configurar um feed para carregar registos da AWS através da página Feeds da consola de operações de segurança, conclua os seguintes passos de configuração:
1. Crie um feed que introduza todos os registos da conta a partir do contentor do Amazon S3 ou da fila do Amazon SQS para todas as regiões.
2. Defina o par de chave-valor Etiquetas de carregamento do feed com base no tipo de origem do feed, usando uma das seguintes opções:
  - Se o Tipo de origem for Amazon S3, configure uma das seguintes opções:
    - Para extrair dados a cada 15 minutos, defina a Etiqueta como CIEM e o Valor como TRUE. Pode reutilizar este feed para outros serviços do Security Command Center onde uma latência de dados de 15 minutos seja aceitável.
    - Para extrair dados a cada 12 horas, defina a Etiqueta como CIEM_EXCLUSIVE e o Valor como TRUE. Esta opção funciona para CIEM e outros potenciais serviços do Security Command Center onde uma latência de dados de 24 horas é aceitável.
  - Se o Tipo de origem for Amazon SQS, defina a Etiqueta como CIEM e o Valor como TRUE.

Se não configurar corretamente a ingestão de registos, o serviço de deteção de CIEM pode apresentar resultados incorretos. Além disso, se existirem problemas com a configuração do CloudTrail, o Security Command Center apresenta o ícone CIEM AWS CloudTrail configuration error.

Para configurar a carregamento de registos, consulte o artigo Carregue registos da AWS para o Google Security Operations na documentação do Google SecOps.

Para ver instruções completas sobre como ativar a CIEM, consulte o artigo Ative o serviço de deteção de CIEM para a AWS. Para mais informações sobre as funcionalidades de CIEM, consulte o artigo Vista geral da gestão de autorizações da infraestrutura na nuvem.

Configure o carregamento de registos da AWS para deteções organizadas

As deteções preparadas disponíveis com o Security Command Center Enterprise ajudam a identificar ameaças em ambientes da AWS através de dados de eventos e de contexto.

Cada conjunto de regras da AWS requer determinados dados para funcionar conforme previsto, incluindo uma ou mais das seguintes origens:

AWS CloudTrail
AWS GuardDuty
Dados de contexto da AWS sobre anfitriões, serviços e VPCs.
AWS Identity and Access Management

Para usar estas deteções preparadas, tem de carregar dados de registo da AWS para o inquilino do Google SecOps e, em seguida, ativar as regras de deteção preparadas.

Para mais informações, consulte o seguinte na documentação do Google SecOps:

Dispositivos e tipos de registos suportados para a AWS: informações sobre os dados necessários pelos conjuntos de regras da AWS.
Carregue registos da AWS para o Google Security Operations: passos para recolher registos do AWS CloudTrail.
Deteções preparadas para dados da AWS: resumo dos conjuntos de regras da AWS nas deteções preparadas de ameaças na nuvem.
Use deteções organizadas para identificar ameaças: como usar deteções organizadas no Google SecOps.

Consulte os Google Cloud níveis de serviço para obter informações sobre o tipo de dados de registo que os clientes com o Security Command Center Enterprise podem carregar para o inquilino do Google SecOps.