AWS Config-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie einen neuen S3-Bucket zum Speichern der CloudTrail-Logs und einen IAM-Nutzer zum Abrufen der Logfeeds von AWS erstellen. AWS Config bietet eine detaillierte Ansicht der Konfiguration von AWS-Ressourcen in Ihrem AWS-Konto. Dazu gehört, wie die Ressourcen miteinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie nachvollziehen, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit ändern.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS

CloudTrail und AWS S3-Bucket konfigurieren

  1. Melden Sie sich in der AWS Management Console an.
  2. Rufen Sie die Amazon S3-Konsole auf.
  3. Suchen Sie in der AWS-Konsole nach Cloudtrail.
  4. Klicken Sie auf Trail erstellen.
  5. Geben Sie einen Namen für den Trail an.
  6. Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.

  7. Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.

  8. Klicken Sie auf Weiter.

  9. Wählen Sie Ereignistyp aus und fügen Sie Datenereignisse hinzu.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die Einstellungen und klicken Sie auf Testlauf erstellen.

  12. Suchen Sie in der AWS-Konsole nach S3-Buckets.

  13. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.

  14. Klicken Sie auf S3-URI kopieren und speichern Sie sie.

AWS Config-API-Aufrufe protokollieren

  1. Rufen Sie in AWS AWS Config > AWS Config einrichten auf.
  2. Wählen Sie den Bucket-Typ aus (entweder die vorhandenen Bucket-Details oder erstellen Sie einen neuen).
  3. Wählen Sie alle erforderlichen von AWS verwalteten Regeln aus und klicken Sie auf Weiter, um einen Bucket auszuwählen.
  4. Weitere Informationen zu Regeltypen finden Sie unter AWS Config. So können Sie die passende Regel für Ihre Anforderungen auswählen:
    • Compliance-Regeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie Compliancestandards oder behördliche Anforderungen erfüllen.
    • Konfigurationsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie den erforderlichen Konfigurationsstandards entsprechen.
    • Leistungsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen auswerten, um sicherzustellen, dass sie für die Leistung optimiert sind.
    • Sicherheitsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie Sicherheitsstandards oder ‑anforderungen entsprechen.
  5. Klicken Sie auf Konfiguration erstellen.
  6. Rufen Sie Amazon S3 auf.
  7. Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.
  8. Klicken Sie auf S3-URI kopieren und speichern Sie sie.

AWS IAM-Nutzer konfigurieren

  1. Suchen Sie in der AWS-Konsole nach IAM.
  2. Klicken Sie auf Nutzer.
  3. Klicken Sie auf Nutzer hinzufügen.
  4. Geben Sie einen Namen für den Nutzer an, z. B. „chronicle-feed-user“.
  5. Wählen Sie Zugriffsschlüssel – programmatischer Zugriff als AWS-Anmeldedatentyp aus.
  6. Klicken Sie auf Next: Permissions.
  7. Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
  8. Wählen Sie AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus.
  1. Klicken Sie auf Weiter: Tags.
  2. Optional: Fügen Sie bei Bedarf Tags hinzu.
  3. Klicken Sie auf Weiter: Überprüfen.
  4. Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
  5. Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neu hinzufügen
  • Content Hub > Content-Packs > Erste Schritte

AWS Config-Feed einrichten

  1. Klicken Sie auf das Paket Amazon Cloud Platform.
  2. Suchen Sie den Logtyp AWS Config.

  3. Geben Sie die Werte in den folgenden Feldern an.

    • Quelltyp: Amazon SQS V2
    • Warteschlangenname: Der Name der SQS-Warteschlange, aus der gelesen werden soll.
    • S3-URI: Der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • SQS Queue Access Key ID (SQS-Warteschlange-Zugriffsschlüssel-ID): Ein Konto-Zugriffsschlüssel, der ein 20-stelliger alphanumerischer String ist.

    • SQS Queue Secret Access Key (geheimer Zugriffsschlüssel für SQS-Warteschlange): Ein Konto-Zugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
    • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  4. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
ARN target.resource.id Der Wert wird aus dem Feld ARN übernommen.
awsAccountId principal.user.userid Der Wert wird aus dem Feld awsAccountId übernommen.
awsRegion target.asset.location.country_or_region Der Wert wird aus dem Feld awsRegion übernommen.
configurationItem.awsAccountId principal.user.userid Der Wert wird aus dem Feld configurationItem.awsAccountId übernommen.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Der Wert wird aus dem Feld configurationItem.configurationItemCaptureTime übernommen und in einen Zeitstempel konvertiert.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Der Wert wird aus dem Feld configurationItem.configurationItemStatus übernommen. Der Schlüssel ist auf „Configuration Item Status“ (Status des Konfigurationselements) festgelegt.
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.name übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_names“ festgelegt.
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.resourceId übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_ids“ festgelegt.
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Der Wert wird aus dem Feld configurationItem.relationships.resourceType übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_types“ festgelegt.
configurationItem.resourceId target.resource.id Der Wert wird aus dem Feld configurationItem.resourceId übernommen.
configurationItem.resourceType target.resource.resource_subtype Der Wert wird aus dem Feld configurationItem.resourceType übernommen.
metadata.event_type Wenn configurationItemDiff.changeType „UPDATE“ ist, wird metadata.event_type auf „RESOURCE_WRITTEN“ festgelegt. Wenn configurationItemDiff.changeType „CREATE“ ist, wird metadata.event_type auf „RESOURCE_CREATION“ festgelegt. Wenn configurationItem.configurationItemStatus „OK“ oder „ResourceDiscovered“ ist, wird metadata.event_type auf „RESOURCE_READ“ gesetzt. Wenn configurationItem.configurationItemStatus „ResourceDeleted“ ist, wird metadata.event_type auf „RESOURCE_DELETION“ festgelegt. Wenn keine dieser Bedingungen erfüllt ist, wird metadata.event_type auf „GENERIC_EVENT“ gesetzt.
metadata.log_type Legen Sie diesen Wert auf „AWS_CONFIG“ fest.
metadata.product_name Legen Sie diesen Wert auf „AWS Config“ fest.
metadata.vendor_name Legen Sie diesen Wert auf „AMAZON“ fest.
target.asset.attribute.cloud.environment Legen Sie diesen Wert auf „AMAZON_WEB_SERVICES“ fest.
target.resource.resource_type Legen Sie diesen Wert auf „VIRTUAL_MACHINE“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten