AWS CloudWatch-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie AWS CloudWatch-Logs in Google Security Operations aufnehmen. AWS CloudWatch ist ein Dienst für Monitoring und Observability, der Betriebsdaten in Form von Logs, Messwerten und Ereignissen erfasst. Mit dieser Integration können Sie diese Logs zur Analyse und zum Monitoring an Google SecOps senden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Privilegierter Zugriff auf AWS

Amazon S3-Bucket erstellen

Wir empfehlen, einen Bucket zu verwenden, der speziell für CloudWatch-Logs erstellt wurde.

1. Öffnen Sie die Amazon S3-Konsole.
2. Bei Bedarf können Sie die Region ändern.
   • Wählen Sie in der Navigationsleiste die Region aus, in der sich Ihre CloudWatch Logs befinden.
3. Klicken Sie auf Bucket erstellen.
   • Bucket-Name: Geben Sie einen aussagekräftigen Namen für den Bucket ein.
   • Region: Wählen Sie die Region aus, in der sich Ihre CloudWatch Logs-Daten befinden.
   • Klicken Sie auf Erstellen.

IAM-Nutzer mit vollem Zugriff auf Amazon S3 und CloudWatch-Logs erstellen

1. Öffnen Sie die IAM-Konsole.
2. Klicken Sie auf Nutzer > Nutzer hinzufügen.
3. Geben Sie einen Nutzernamen ein, z. B. CWExport.
4. Wählen Sie Programmatic access (Programmatischer Zugriff) und AWS Management Console access (Zugriff auf die AWS Management Console) aus.
5. Wählen Sie entweder Automatisch generiertes Passwort oder Benutzerdefiniertes Passwort aus.
6. Klicken Sie auf Weiter> Berechtigungen.
7. Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
8. Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsFullAccess und weisen Sie sie dem Nutzer zu.
9. Klicken Sie auf Weiter>„Tags“.
10. Klicken Sie auf Weiter > Überprüfen.
11. Klicken Sie auf Nutzer erstellen.

Berechtigungen für Amazon S3-Bucket konfigurieren

1. Wählen Sie in der Amazon S3-Konsole den Bucket aus, den Sie zuvor erstellt haben.
2. Klicken Sie auf Berechtigungen > Bucket-Richtlinie.

3. Fügen Sie im Bucket-Richtlinieneditor die folgende Richtlinie hinzu:

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Ändern und aktualisieren Sie die folgenden json-Variablen:

   • Ändern Sie cw-exported-logs in den Namen Ihres S3-Buckets.
   • Ändern Sie random-string in eine zufällig generierte Zeichenfolge.
   • Geben Sie den richtigen Region-Endpunkt für Principal an.

5. Klicken Sie auf Speichern, um die gerade hinzugefügte Richtlinie als Zugriffsrichtlinie für Ihren Bucket festzulegen.

CloudWatch-Export konfigurieren

1. Melden Sie sich mit dem IAM-Nutzer an, den Sie zuvor erstellt haben.
2. Öffnen Sie die CloudWatch-Konsole.
3. Wählen Sie im Navigationsmenü Log groups (Log-Gruppen) aus.
4. Wählen Sie den Namen einer vorhandenen Protokollgruppe aus oder erstellen Sie eine neue Protokollgruppe.
5. Wählen Sie Aktionen > Daten nach Amazon S3 exportieren aus.
6. Suchen Sie auf dem Bildschirm Export data to Amazon S3 (Daten nach Amazon S3 exportieren) nach Define data export (Datenexport definieren).

7. Legen Sie mit Von und Bis den Zeitraum für die zu exportierenden Daten fest.

8. S3-Bucket auswählen: Wählen Sie das Konto aus, das mit dem Amazon S3-Bucket verknüpft ist.

9. S3-Bucket-Name: Wählen Sie einen Amazon S3-Bucket aus.

10. S3-Bucket-Präfix: Geben Sie den zufällig generierten String ein, den Sie in der Bucket-Richtlinie angegeben haben.

11. Wählen Sie Exportieren aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.

12. Wenn Sie den Status der Logdaten sehen möchten, die Sie nach Amazon S3 exportiert haben, wählen Sie Aktionen > Alle Exporte nach Amazon S3 ansehen aus.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds
• Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS CloudWatch Logs (AWS CloudWatch-Logs).
5. Wählen Sie Amazon S3 als Quelltyp aus.
6. Wählen Sie AWS CloudWatch als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
   • S3-URI: Der Bucket-URI.
     • s3://your-log-bucket-name/
       • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
   • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

   • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

   • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

• Region: Die Region, in der sich der Amazon S3-Bucket befindet.
• S3-URI: Der Bucket-URI.
  • s3://your-log-bucket-name/
    • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
• URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
• Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

• Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

• Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

Erweiterte Optionen

• Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
• Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
• Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
• Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten