Security Command Center 针对 Amazon Web Services (AWS) 的精选检测、威胁调查和云基础设施授权管理 (CIEM) 功能需要使用 Google SecOps 注入流水线注入 AWS 日志。注入所需的 AWS 日志类型因您配置的内容而异:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
为 CIEM 配置 AWS 日志注入
如需为 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要从 AWS CloudTrail 日志中获取数据。
如需使用 CIEM,请在配置 AWS 日志注入时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
创建以下任一内容:
- 从所有 AWS 账号中提取日志数据的组织级跟踪。
从所选 AWS 账号提取日志数据的账号级轨迹。
将您为 CIEM 选择的 Amazon S3 存储桶或 Amazon SQS 队列设置为记录来自所有区域的管理事件。
在设置信息流以使用 Security Operations 控制台的信息流页面注入 AWS 日志时,请完成以下配置步骤:
- 创建可从 Amazon S3 存储桶或 Amazon SQS 队列中提取所有区域的所有账号日志的 Feed。
根据 Feed 源类型,使用以下任一选项设置 Feed 注入标签键值对:
如果来源类型为 Amazon S3,请配置以下任一选项:
- 如需每 15 分钟提取一次数据,请将标签设置为
CIEM,并将值设置为TRUE。如果可以接受 15 分钟的数据延迟,您可以将此 Feed 重用于其他 Security Command Center 服务。 - 如需每 12 小时提取一次数据,请将标签设置为
CIEM_EXCLUSIVE,并将值设置为TRUE。此选项适用于 CIEM 和其他潜在的 Security Command Center 服务,这些服务可接受 24 小时的数据延迟。
- 如需每 15 分钟提取一次数据,请将标签设置为
如果来源类型为 Amazon SQS,请将标签设置为
CIEM,并将值设置为TRUE。
如果您未正确配置日志提取,CIEM 检测服务可能会显示不正确的检测结果。此外,如果 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志注入,请参阅 Google SecOps 文档中的将 AWS 日志注入到 Google Security Operations。
如需查看有关启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。 如需详细了解 CIEM 功能,请参阅云基础设施授权管理概览。
为精选检测配置 AWS 日志注入
Security Command Center Enterprise 提供的精选检测有助于使用事件和情境数据识别 AWS 环境中的威胁。
每个 AWS 规则集都需要某些数据才能按设计运行,包括以下一个或多个来源:
- AWS CloudTrail
- AWS GuardDuty
- 有关主机、服务和 VPC 的 AWS 上下文数据。
- AWS Identity and Access Management
如需使用这些精选检测,您必须将 AWS 日志数据注入到 Google SecOps 租户,然后启用精选检测规则。
如需了解详情,请参阅 Google SecOps 文档中的以下内容:
支持的设备和 AWS 的日志类型:有关 AWS 规则集所需数据的信息。
将 AWS 日志注入 Google Security Operations:收集 AWS CloudTrail 日志的步骤。
针对 AWS 数据的精选检测:云威胁精选检测中的 AWS 规则集摘要。
使用精选检测来识别威胁:在 Google SecOps 中使用精选检测的方式。
如需了解 Security Command Center Enterprise 客户可以注入到 Google SecOps 租户的日志数据类型,请参阅Google Cloud 服务层级。