Security Command Center 针对 Amazon Web Services (AWS) 的精选检测、威胁调查和云基础设施授权管理 (CIEM) 功能需要使用 Google SecOps 注入流水线注入 AWS 日志。注入所需的 AWS 日志类型因您配置的内容而异:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
为 CIEM 配置 AWS 日志注入
如需为 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要来自 AWS CloudTrail 日志的数据。
如需使用 CIEM,请在配置 AWS 日志注入时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
创建以下项之一:
- 从所有 AWS 账号中拉取日志数据的组织级跟踪记录。
从所选 AWS 账号中拉取日志数据的账号级跟踪记录。
将您为 CIEM 选择的 Amazon S3 存储桶或 Amazon SQS 队列设置为记录来自所有区域的管理事件。
设置 Feed 以使用 Security Operations 控制台的 Feed 页面注入 AWS 日志时,请完成以下配置步骤:
- 创建一个 Feed,以从 Amazon S3 存储桶或 Amazon SQS 队列中注入所有区域的所有账号日志。
根据 Feed 来源类型,使用以下选项之一设置 Feed 注入标签键值对:
如果来源类型为 Amazon S3,请配置以下选项之一:
- 如需每 15 分钟提取一次数据,请将标签设置为
CIEM,并将值设置为TRUE。 您可以将此 Feed 重复用于可以接受 15 分钟的数据延迟时间的其他 Security Command Center 服务。 - 如需每 12 小时提取一次数据,请将标签设置为
CIEM_EXCLUSIVE,并将值设置为TRUE。此选项适用于 CIEM 以及可以接受 24 小时的数据延迟时间的其他潜在 Security Command Center 服务。
- 如需每 15 分钟提取一次数据,请将标签设置为
如果来源类型为 Amazon SQS,请将标签设置为
CIEM,并将值设置为TRUE。
如果您未正确配置日志注入,则 CIEM 检测服务可能会显示不正确的发现结果。此外,如果 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志注入,请参阅 Google SecOps 文档中的将 AWS 日志注入到 Google Security Operations。
如需查看有关如何启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。 如需详细了解 CIEM,请参阅云基础设施权利管理概览。
为精选检测配置 AWS 日志注入
Security Command Center 企业方案提供的精选检测有助于使用事件和上下文数据识别 AWS 环境中的威胁。
每个 AWS 规则集都需要某些数据才能按设计运行,包括以下一个或多个来源:
- AWS CloudTrail
- AWS GuardDuty
- 有关主机、服务和 VPC 的 AWS 上下文数据。
- AWS Identity and Access Management
如需使用这些精选检测,您必须将 AWS 日志数据注入到 Google SecOps 租户,然后启用精选检测规则。
如需了解详情,请参阅 Google SecOps 文档中的以下内容:
AWS 支持的设备和日志类型:有关 AWS 规则集所需数据的信息。
将 AWS 日志注入到 Google Security Operations:收集 AWS CloudTrail 日志的步骤。
针对 AWS 数据的精选检测:云威胁精选检测中的 AWS 规则集摘要。
使用精选检测来识别威胁:在 Google SecOps 中使用精选检测的方式。
如需了解 Security Command Center 企业方案客户可以注入到 Google SecOps 租户的日志数据类型,请参阅Google Cloud 服务层级。