AWS Aurora-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS Aurora-Logs in Google Security Operations aufnehmen. AWS Aurora ist ein verwalteter relationaler Datenbankdienst, der hohe Leistung, Skalierbarkeit und Verfügbarkeit bietet. Bei dieser Integration konfigurieren Sie AWS Aurora so, dass Logs zur Analyse, zum Monitoring und zur Erkennung von Bedrohungen an Google SecOps weitergeleitet werden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS
  • AWS Aurora-Datenbankcluster eingerichtet und wird ausgeführt

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsFullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

Erweitertes Monitoring konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.
  2. Geben Sie in die Suchleiste RDS ein und wählen Sie RDS aus der Liste der Dienste aus.
  3. Wählen Sie im RDS-Dashboard im Navigationsbereich die Option Datenbanken aus.
  4. Wählen Sie den Aurora-Cluster aus, den Sie überwachen möchten.
  5. Klicken Sie im Bereich Logs & Monitoring auf Ändern.
  6. Rufen Sie den Bereich Monitoring auf und aktivieren Sie Erweitertes Monitoring.
  7. Legen Sie die Monitoring-Rolle auf die entsprechende IAM-Rolle fest, die Berechtigungen zum Veröffentlichen in CloudWatch Logs oder S3 hat.
  8. Speichern Sie die Änderungen und wenden Sie sie auf Ihren Aurora-Cluster an.

AWS Aurora-Audit-Logs konfigurieren

  1. Wählen Sie im RDS-Dashboard Datenbanken aus und klicken Sie auf Ihren Aurora-Cluster.
  2. Klicken Sie im Bereich Logs und Monitoring auf Ändern.
  3. Achten Sie darauf, dass im Abschnitt Datenbankoptionen die Option Audit-Logs aktivieren ausgewählt ist.
  4. Wählen Sie unter Ziel die Option S3 aus und geben Sie den S3-Bucket an, in dem die Protokolle gespeichert werden sollen.
  5. Klicken Sie auf Änderungen speichern, um die Einstellungen zu übernehmen.

Optional: AWS Aurora-Logs mit CloudWatch konfigurieren

Für zusätzliche Überwachungsfunktionen können Sie CloudWatch Logs konfigurieren, um Aurora-Logs zu erfassen.

  1. Wählen Sie im RDS-Dashboard Ihren Aurora-Cluster aus.
  2. Prüfen Sie im Abschnitt Logs & Monitoring, ob die CloudWatch Logs-Integration aktiviert ist.
  3. Rufen Sie CloudWatch Logs auf und erstellen Sie eine neue Log Group (Protokollgruppe), um die Aurora-Logs zu speichern.
  4. Wählen Sie auf dem Bildschirm Log Groups (Protokollgruppen) den Namen Ihrer neuen Log Group (Protokollgruppe) aus.
  5. Wählen Sie Aktionen > Daten nach Amazon S3 exportieren aus.

  6. Legen Sie auf dem Bildschirm Daten in Amazon S3 exportieren unter Datenexport definieren mit Von und Bis den Zeitraum für die zu exportierenden Daten fest.

  7. Wählen Sie unter S3-Bucket auswählen das Konto aus, das mit dem Amazon S3-Bucket verknüpft ist.

  8. Wählen Sie unter S3-Bucket-Name einen Amazon S3-Bucket aus.

  9. Geben Sie unter S3 Bucket prefix (S3-Bucket-Präfix) den zufällig generierten String ein, den Sie in der Bucket-Richtlinie angegeben haben.

  10. Wählen Sie Exportieren aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.

  11. Wenn Sie den Status der Logdaten sehen möchten, die Sie nach Amazon S3 exportiert haben, wählen Sie Aktionen > Alle Exporte nach Amazon S3 ansehen aus.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Aurora Logs (AWS Aurora-Protokolle).
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie AWS Aurora als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
    • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

      • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.

    • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
  • S3-URI: Der Bucket-URI.
    • s3://your-log-bucket-name/
      • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
  • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
  • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
  • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
account principal.group.product_object_id Direkt aus dem Feld account im Rohlog zugeordnet.
column1 timestamp_epoch Direkt aus dem Feld column1 im Rohlog zugeordnet. Wird verwendet, um metadata.event_timestamp abzuleiten.
column10 Variabel Kann je nach Logformat principal.process.command_line, object oder number sein.
column11 ddl oder response oder command_line2 Kann je nach Logformat principal.resource.resource_subtype (ddl), security_result.outcomes.value (response) oder Teil von principal.process.command_line (command_line2) sein.
column12 operation oder response oder command_line3 Kann je nach Logformat sr.summary (Vorgang), security_result.outcomes.value (Antwort) oder Teil von principal.process.command_line (command_line3) sein.
column13 database oder response Kann je nach Protokollformat target.resource.name (Datenbank) oder security_result.outcomes.value (Antwort) sein.
column14 object Direkt principal.resource.product_object_id oder target_data.resource.name zugeordnet, je nach Logformat.
column15 command_line Direkt principal.process.command_line zugeordnet.
column16 response Direkt security_result.outcomes.value zugeordnet.
column2 timestamp oder timestamp_ms Direkt aus dem Feld column2 im Rohlog zugeordnet.
column3 ip oder hostname Kann je nach Logformat principal.ip oder principal.resource.name sein.
column4 port oder userid Kann je nach Logformat principal.port oder principal.user.userid sein.
column5 userid oder ip Kann je nach Logformat principal.user.userid oder principal.ip sein.
column6 hostname oder connection_id Kann je nach Logformat principal.resource.name oder network.session_id sein.
column7 connection_id oder query_id Kann je nach Logformat network.session_id oder principal.process.pid sein.
column8 operation Direkt sr.summary oder metadata.product_event_type zugeordnet.
column9 query_id oder database Kann je nach Logformat principal.process.pid oder target_data.resource.name sein.
command_line principal.process.command_line Direkt aus dem extrahierten Feld command_line zugeordnet.
connection_id network.session_id Direkt aus dem extrahierten Feld connection_id zugeordnet.
database target.resource.name Direkt aus dem extrahierten Feld database zugeordnet. Wird aus mehreren Feldern wie operation, command_line, has_principal_user und has_principal_machine durch bedingte Logik im Parser abgeleitet. Kann RESOURCE_DELETION, RESOURCE_CREATION, RESOURCE_READ, RESOURCE_WRITTEN, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED oder GENERIC_EVENT sein. Fest codiert auf „AWS_AURORA“. Wird aus column8 abgeleitet oder basiert auf der Parserlogik. Fest codiert auf „AURORA“. Fest codiert auf „AMAZON“.
has_principal_machine has_principal_machine Wird auf „true“ gesetzt, wenn principal.ip vorhanden ist, andernfalls auf „false“ initialisiert.
has_principal_user has_principal_user Wird auf „true“ gesetzt, wenn principal.user.userid vorhanden ist, andernfalls auf „false“ initialisiert.
hostname principal.resource.name Direkt aus dem extrahierten Feld hostname zugeordnet.
ip principal.ip Direkt aus dem extrahierten Feld ip zugeordnet.
logevent.id security_result.detection_fields.value Verschachtelt in target.logEvents.logEvents, zugeordnet mit dem Schlüssel „id“.
logevent.message security_result.detection_fields.value Verschachtelt in target.logEvents.logEvents, zugeordnet mit dem Schlüssel „message“. Wird zum Extrahieren von principal.ip, time_unix, operation und user verwendet.
logevent.timestamp security_result.detection_fields.value Verschachtelt in target.logEvents.logEvents, zugeordnet mit dem Schlüssel „timestamp“.
object target_data.resource.name oder principal.resource.product_object_id Direkt aus dem extrahierten Feld object zugeordnet.
operation sr.summary Direkt aus dem extrahierten Feld operation zugeordnet.
port principal.port Direkt aus dem extrahierten Feld port zugeordnet.
query_id principal.process.pid Direkt aus dem extrahierten Feld query_id zugeordnet.
response security_result.outcomes.value Direkt aus dem extrahierten Feld response zugeordnet.
service principal.application Direkt aus dem Feld service im Rohlog zugeordnet.
src_ip principal.ip Aus logevent.message in der verschachtelten target.logEvents.logEvents-Struktur extrahiert.
target.logEvents.logGroup target.resource.attribute.labels.value Mit dem Schlüssel „logGroup“ zugeordnet.
target.logEvents.logStream target.resource.attribute.labels.value Mit dem Schlüssel „logStream“ zugeordnet.
target.logEvents.messageType target.resource.attribute.labels.value Mit dem Schlüssel „messageType“ zugeordnet.
target.logEvents.owner target.resource.attribute.labels.value Mit dem Schlüssel „owner“ zugeordnet.
timestamp_epoch metadata.event_timestamp Mit dem Filter date in metadata.event_timestamp umgewandelt.
user principal.user.userid Aus logevent.message in der verschachtelten target.logEvents.logEvents-Struktur extrahiert.
userid principal.user.userid Direkt aus dem extrahierten Feld userid zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten