收集 AWS Aurora 日志

支持的语言:

本文档介绍了如何将 AWS Aurora 日志注入到 Google Security Operations。AWS Aurora 是一项托管式关系型数据库服务,可提供出色的性能、可伸缩性和可用性。在此集成中,您将配置 AWS Aurora 以将日志转发到 Google SecOps,以便进行分析、监控和威胁检测。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限
  • AWS Aurora 数据库集群已设置并正在运行

配置 Amazon S3 存储桶

  1. 按照以下用户指南创建 Amazon S3 存储桶创建存储桶
  2. 保存相应存储桶的名称区域以备后用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 访问密钥部分中,点击创建访问密钥
  7. 选择第三方服务作为使用情形
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击 Download CSV file(下载 CSV 文件),保存访问密钥不公开的访问密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccessCloudWatchLogsFullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

配置增强型监控

  1. 登录 AWS Management Console
  2. 在搜索栏中,输入 RDS,然后从服务列表中选择 RDS
  3. RDS 信息中心中,从导航窗格中选择数据库
  4. 选择要监控的 Aurora 集群
  5. 日志和监控部分下,点击修改
  6. 前往监控部分,然后启用增强型监控
  7. 监控角色设置为具有发布到 CloudWatch LogsS3 的权限的相应 IAM 角色。
  8. 保存更改并将其应用于 Aurora 集群。

如何配置 AWS Aurora 审核日志

  1. RDS 控制台中,选择数据库,然后点击您的 Aurora 集群
  2. 日志和监控部分下,点击修改
  3. 数据库选项部分中,确保选中启用审核日志
  4. 目标位置下,选择 S3 并指定将存储日志的 S3 存储桶
  5. 点击保存更改以应用设置。

可选:使用 CloudWatch 配置 AWS Aurora 日志

如需获得更多监控功能,您可以配置 CloudWatch Logs 以捕获 Aurora 日志。

  1. RDS 信息中心中,选择您的 Aurora 集群
  2. 日志和监控部分下,确保已启用 CloudWatch Logs 集成。
  3. 前往 CloudWatch Logs 并创建一个新的日志组来存储 Aurora 日志。
  4. 日志组界面上,选择新日志组的名称。
  5. 依次选择操作 > 将数据导出到 Amazon S3

  6. 将数据导出到 Amazon S3 界面上,在定义数据导出下,使用开始时间结束时间设置要导出的数据的时间范围。

  7. 选择 S3 存储桶,然后选择与 Amazon S3 存储桶关联的账号。

  8. S3 存储桶名称,选择一个 Amazon S3 存储桶。

  9. S3 存储桶前缀,输入您在存储桶政策中指定的随机生成的字符串。

  10. 选择导出,将日志数据导出到 Amazon S3。

  11. 如需查看导出到 Amazon S3 的日志数据的状态,请依次选择操作 > 查看所有导出到 Amazon S3 的数据

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 AWS Aurora 日志)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 AWS Aurora 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
    • URI is a:根据您的存储桶结构,选择目录目录(包括子目录)

    • 源删除选项:根据您的提取偏好设置选择删除选项。

      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。

    • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。

    • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
  • S3 URI:存储桶 URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
  • URI is a:根据您的存储桶结构,选择目录目录(包括子目录)
  • 源删除选项:根据您的提取偏好设置选择删除选项。
  • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。
  • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
account principal.group.product_object_id 直接从原始日志中的 account 字段映射。
column1 timestamp_epoch 直接从原始日志中的 column1 字段映射。用于派生 metadata.event_timestamp
column10 不定 可以是 principal.process.command_lineobjectnumber,具体取决于日志格式。
column11 ddlresponsecommand_line2 可以是 principal.resource.resource_subtype (ddl)、security_result.outcomes.value(响应),也可以是 principal.process.command_line (command_line2) 的一部分,具体取决于日志格式。
column12 operationresponsecommand_line3 可以是 sr.summary(操作)、security_result.outcomes.value(响应)或 principal.process.command_line(command_line3)的一部分,具体取决于日志格式。
column13 databaseresponse 可以是 target.resource.name(数据库),也可以是 security_result.outcomes.value(响应),具体取决于日志格式。
column14 object 直接映射到 principal.resource.product_object_idtarget_data.resource.name,具体取决于日志格式。
column15 command_line 直接映射到 principal.process.command_line
column16 response 直接映射到 security_result.outcomes.value
column2 timestamptimestamp_ms 直接从原始日志中的 column2 字段映射。
column3 iphostname 可以是 principal.ipprincipal.resource.name,具体取决于日志格式。
column4 portuserid 可以是 principal.portprincipal.user.userid,具体取决于日志格式。
column5 useridip 可以是 principal.user.useridprincipal.ip,具体取决于日志格式。
column6 hostnameconnection_id 可以是 principal.resource.namenetwork.session_id,具体取决于日志格式。
column7 connection_idquery_id 可以是 network.session_idprincipal.process.pid,具体取决于日志格式。
column8 operation 直接映射到 sr.summarymetadata.product_event_type
column9 query_iddatabase 可以是 principal.process.pidtarget_data.resource.name,具体取决于日志格式。
command_line principal.process.command_line 直接从提取的 command_line 字段映射。
connection_id network.session_id 直接从提取的 connection_id 字段映射。
database target.resource.name 直接从提取的 database 字段映射。通过解析器中的条件逻辑从 operationcommand_linehas_principal_userhas_principal_machine 等多个字段派生而来。可以是 RESOURCE_DELETIONRESOURCE_CREATIONRESOURCE_READRESOURCE_WRITTENUSER_RESOURCE_ACCESSUSER_UNCATEGORIZEDGENERIC_EVENT。硬编码为“AWS_AURORA”。从 column8 映射或从解析器逻辑派生。硬编码为“AURORA”。硬编码为“AMAZON”。
has_principal_machine has_principal_machine 如果存在 principal.ip,则设置为“true”,否则初始化为“false”。
has_principal_user has_principal_user 如果存在 principal.user.userid,则设置为“true”,否则初始化为“false”。
hostname principal.resource.name 直接从提取的 hostname 字段映射。
ip principal.ip 直接从提取的 ip 字段映射。
logevent.id security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“id”进行映射。
logevent.message security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“message”进行映射。用于提取 principal.iptime_unixoperationuser
logevent.timestamp security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“timestamp”进行映射。
object target_data.resource.nameprincipal.resource.product_object_id 直接从提取的 object 字段映射。
operation sr.summary 直接从提取的 operation 字段映射。
port principal.port 直接从提取的 port 字段映射。
query_id principal.process.pid 直接从提取的 query_id 字段映射。
response security_result.outcomes.value 直接从提取的 response 字段映射。
service principal.application 直接从原始日志中的 service 字段映射。
src_ip principal.ip 从嵌套的 target.logEvents.logEvents 结构中的 logevent.message 提取。
target.logEvents.logGroup target.resource.attribute.labels.value 使用键“logGroup”进行映射。
target.logEvents.logStream target.resource.attribute.labels.value 已映射,键为“logStream”。
target.logEvents.messageType target.resource.attribute.labels.value 使用键“messageType”进行映射。
target.logEvents.owner target.resource.attribute.labels.value 使用键“owner”进行映射。
timestamp_epoch metadata.event_timestamp 使用 date 过滤条件转换为 metadata.event_timestamp
user principal.user.userid 从嵌套的 target.logEvents.logEvents 结构中的 logevent.message 提取。
userid principal.user.userid 直接从提取的 userid 字段映射。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。