Coletar registros do AWS CloudWatch

Este documento explica como ingerir registros do AWS CloudWatch no Google Security Operations. O AWS CloudWatch é um serviço de monitoramento e observabilidade que coleta dados operacionais na forma de registros, métricas e eventos. Com essa integração, é possível enviar esses registros ao Google SecOps para análise e monitoramento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Acesso privilegiado à AWS

Criar um bucket do Amazon S3

Recomendamos usar um bucket criado especificamente para registros do CloudWatch.

1. Abra o console do Amazon S3.
2. Se necessário, mude a Região.
   • Na barra de navegação, selecione a região em que os registros do CloudWatch estão localizados.
3. Clique em Criar bucket.
   • Nome do bucket: insira um nome significativo para o bucket.
   • Região: selecione a região em que seus dados do CloudWatch Logs estão localizados.
   • Clique em Criar.

Criar um usuário do IAM com acesso total ao Amazon S3 e aos registros do CloudWatch

1. Abra o console do IAM.
2. Clique em Usuários > Adicionar usuário.
3. Digite um nome de usuário (por exemplo, CWExport).
4. Selecione Acesso programático e Acesso ao console de gerenciamento da AWS.
5. Selecione Senha gerada automaticamente ou Senha personalizada.
6. Clique em Próxima > Permissões.
7. Escolha Anexar políticas atuais diretamente.
8. Pesquise e selecione as políticas AmazonS3FullAccess e CloudWatchLogsFullAccess para o usuário.
9. Clique em Próxima > Tags.
10. Clique em Próxima > Revisar.
11. Clique em Criar usuário.

Configurar permissões no bucket do Amazon S3

1. No console do Amazon S3, escolha o bucket que você criou anteriormente.
2. Clique em Permissões > Política do bucket.

3. No Editor de políticas do bucket, adicione a seguinte política:

   {             
     "Version": "2012-10-17",
     "Statement": [
         {
           "Action": "s3:GetBucketAcl",
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::cw-exported-logs",
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
         },
         {
           "Action": "s3:PutObject" ,
           "Effect": "Allow",
           "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
           "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
           "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
   
         }
   
     ]
   
   }
   

4. Mude e atualize as seguintes variáveis json:

   • Mude cw-exported-logs para o nome do seu bucket do S3.
   • Mude random-string para uma string de caracteres gerada aleatoriamente.
   • Especifique o endpoint da região correto para o principal.

5. Clique em Salvar para definir a política que você acabou de adicionar como a política de acesso no bucket.

Como configurar a exportação do CloudWatch

1. Faça login como o usuário do IAM que você criou anteriormente.
2. Abra o console do CloudWatch.
3. No menu de navegação, selecione Grupos de registros.
4. Selecione o nome de um grupo de registros atual ou crie um novo.
5. Escolha Ações > Exportar dados para o Amazon S3.
6. Na tela Exportar dados para o Amazon S3, localize Definir exportação de dados.

7. Defina o período dos dados a serem exportados usando De e Até. A exportação só é realizada durante esse período. Se você estiver procurando um push contínuo, recomendamos usar uma ferramenta como o Firehose.

8. Escolher bucket do S3: selecione a conta associada ao bucket do Amazon S3.

9. Nome do bucket do S3: selecione um bucket do Amazon S3.

10. Prefixo do bucket do S3: insira a string gerada aleatoriamente que você especificou na política do bucket.

11. Escolha Exportar para exportar os dados de registro para o Amazon S3.

12. Para conferir o status dos dados de registro que você exportou para o Amazon S3, selecione Ações > Ver todas as exportações para o Amazon S3.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds > Adicionar novo
• Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS CloudWatch

1. Clique no pacote Amazon Cloud Platform.
2. No tipo de registro AWS CloudWatch, especifique os seguintes valores:

3. Especifique valores para os seguintes campos:

   • Tipo de origem: Amazon SQS V2
   • Nome da fila: o nome da fila do SQS de onde ler.
   • URI do S3: o URI do bucket.
     • s3://your-log-bucket-name/
       • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

   • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

   • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

   • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

   Opções avançadas

   • Nome do feed: um valor pré-preenchido que identifica o feed.
   • Namespace do recurso: namespace associado ao feed.
   • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.