Mengumpulkan log AWS CloudWatch

Dokumen ini menjelaskan cara menyerap log AWS CloudWatch ke Google Security Operations. AWS CloudWatch adalah layanan pemantauan dan observabilitas, yang mengumpulkan data operasional dalam bentuk log, metrik, dan peristiwa. Integrasi ini memungkinkan Anda mengirimkan log ini ke Google SecOps untuk dianalisis dan dipantau.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke AWS

Buat bucket Amazon S3

Sebaiknya gunakan bucket yang dibuat khusus untuk log CloudWatch.

1. Buka konsol Amazon S3.
2. Jika diperlukan, Anda dapat mengubah Wilayah.
   • Di menu navigasi, pilih Region tempat CloudWatch Logs Anda berada.
3. Klik Create Bucket.
   • Nama Bucket: Masukkan nama yang bermakna untuk bucket.
   • Region: Pilih region tempat data CloudWatch Logs Anda berada.
   • Klik Buat.

Buat pengguna IAM dengan akses penuh ke log Amazon S3 dan CloudWatch

1. Buka konsol IAM.
2. Klik Pengguna > Tambahkan pengguna.
3. Masukkan nama pengguna (misalnya, CWExport).
4. Pilih Akses terprogram dan Akses AWS Management Console.
5. Pilih Sandi yang dibuat otomatis atau Sandi kustom.
6. Klik Berikutnya > Izin.
7. Pilih Lampirkan kebijakan yang ada secara langsung.
8. Cari dan pilih kebijakan AmazonS3FullAccess dan CloudWatchLogsFullAccess untuk pengguna.
9. Klik Berikutnya > Tag.
10. Klik Berikutnya > Tinjau.
11. Klik Buat pengguna.

Mengonfigurasi izin pada bucket Amazon S3

1. Di konsol Amazon S3, pilih bucket yang Anda buat sebelumnya.
2. Klik Izin > Kebijakan bucket.

3. Di Bucket Policy Editor, tambahkan kebijakan berikut:

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Ubah dan perbarui variabel json berikut:

   • Ubah cw-exported-logs menjadi nama bucket S3 Anda.
   • Ubah random-string menjadi string karakter yang dibuat secara acak.
   • Tentukan Endpoint region yang benar untuk Principal.

5. Klik Simpan untuk menetapkan kebijakan yang baru saja Anda tambahkan sebagai kebijakan akses di bucket Anda.

Cara mengonfigurasi Ekspor CloudWatch

1. Login sebagai pengguna IAM yang Anda buat sebelumnya.
2. Buka konsol CloudWatch.
3. Di menu navigasi, pilih Grup log.
4. Pilih nama grup log yang ada atau buat grup log baru.
5. Pilih Tindakan > Ekspor data ke Amazon S3.
6. Di layar Ekspor data ke Amazon S3, temukan Tentukan ekspor data.

7. Tetapkan rentang waktu untuk data yang akan diekspor menggunakan Dari dan Ke.

8. Pilih bucket S3: Pilih akun yang terkait dengan bucket Amazon S3.

9. Nama bucket S3: Pilih bucket Amazon S3.

10. Awalan Bucket S3: Masukkan string yang dibuat secara acak yang Anda tentukan dalam kebijakan bucket.

11. Pilih Ekspor untuk mengekspor data log Anda ke Amazon S3.

12. Untuk melihat status data log yang Anda ekspor ke Amazon S3, pilih Tindakan > Lihat semua ekspor ke Amazon S3.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

• Setelan SIEM > Feed
• Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan Feed Baru.
3. Di halaman berikutnya, klik Konfigurasi satu feed.
4. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS CloudWatch Logs).
5. Pilih Amazon S3 sebagai Jenis sumber.
6. Pilih AWS CloudWatch sebagai Jenis log.
7. Klik Berikutnya.

8. Tentukan nilai untuk parameter input berikut:

   • Region: Region tempat bucket Amazon S3 berada.
   • URI S3: URI bucket.
     • s3://your-log-bucket-name/
       • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
   • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.

   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

   • ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.

   • Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

9. Klik Berikutnya.

10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

• Region: Region tempat bucket Amazon S3 berada.
• URI S3: URI bucket.
  • s3://your-log-bucket-name/
    • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
• URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
• Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

• ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.

• Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

Opsi Lanjutan

• Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
• Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
• Namespace Aset: Namespace yang terkait dengan feed.
• Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.