Diese Seite wurde von der Cloud Translation API übersetzt.

AWS Config-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie einen neuen S3-Bucket zum Speichern der CloudTrail-Logs und einen IAM-Nutzer zum Abrufen der Logfeeds von AWS erstellen. AWS Config bietet eine detaillierte Ansicht der Konfiguration von AWS-Ressourcen in Ihrem AWS-Konto. Dazu gehört, wie die Ressourcen miteinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie nachvollziehen, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit ändern.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Privilegierter Zugriff auf AWS

CloudTrail und AWS S3-Bucket konfigurieren

Melden Sie sich in der AWS Management Console an.
Rufen Sie die Amazon S3-Konsole auf.
Suchen Sie in der AWS-Konsole nach Cloudtrail.
Klicken Sie auf Trail erstellen.
Geben Sie einen Testlaufnamen an.
Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
Geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.

Hinweis :Behalten Sie für die anderen Einstellungen die Standardeinstellungen bei.
Klicken Sie auf Weiter.
Wählen Sie Ereignistyp aus und fügen Sie Datenereignisse hinzu.
Klicken Sie auf Weiter.
Prüfen Sie die Einstellungen und klicken Sie auf Testlauf erstellen.
Suchen Sie in der AWS-Konsole nach S3-Buckets.
Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.
Klicken Sie auf S3-URI kopieren und speichern Sie sie.

AWS Config-API-Aufrufe protokollieren

Rufen Sie in AWS AWS Config > AWS Config einrichten auf.
Wählen Sie den Bucket-Typ aus (entweder die vorhandenen Bucket-Details oder erstellen Sie einen neuen).
Wählen Sie alle erforderlichen von AWS verwalteten Regeln aus und klicken Sie auf Weiter, um einen Bucket auszuwählen.
Weitere Informationen zu Regeltypen finden Sie unter AWS Config. So können Sie die passende Regel für Ihre Anforderungen auswählen:
- Compliance-Regeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie Compliancestandards oder behördliche Anforderungen erfüllen.
- Konfigurationsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie den erforderlichen Konfigurationsstandards entsprechen.
- Leistungsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen auswerten, um sicherzustellen, dass sie für die Leistung optimiert sind.
- Sicherheitsregeln: Mit ihnen lassen sich die Konfigurationen von Ressourcen bewerten, um sicherzustellen, dass sie Sicherheitsstandards oder ‑anforderungen entsprechen.
Klicken Sie auf Konfiguration erstellen.
Rufen Sie Amazon S3 auf.
Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus.
Klicken Sie auf S3-URI kopieren und speichern Sie sie.

AWS IAM-Nutzer konfigurieren

Suchen Sie in der AWS-Konsole nach IAM.
Klicken Sie auf Nutzer.
Klicken Sie auf Nutzer hinzufügen.
Geben Sie einen Namen für den Nutzer an, z. B. „chronicle-feed-user“.
Wählen Sie Zugriffsschlüssel – programmatischer Zugriff als AWS-Anmeldedatentyp aus.
Klicken Sie auf Next: Permissions.
Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
Wählen Sie AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus.

Klicken Sie auf Weiter: Tags.
Optional: Fügen Sie bei Bedarf Tags hinzu.
Klicken Sie auf Weiter: Überprüfen.
Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

Rufen Sie die SIEM-Einstellungen> Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. „AWS Config Logs“.
Wählen Sie Amazon S3 als Quelltyp aus.
Wählen Sie AWS Config als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
  - s3:/BUCKET_NAME
    - Ersetzen Sie BUCKET_NAME durch den tatsächlichen Namen Ihres S3-Buckets.
- URI is a (URI ist ein): Wählen Sie den URI_TYPE entsprechend der Logstream-Konfiguration aus (Single file | Directory | Directory which includes subdirectories (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen)).
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
- Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Region: Die Region, in der sich der Amazon S3-Bucket befindet.
S3-URI: Der Bucket-URI.
- s3:/BUCKET_NAME
  - Ersetzen Sie BUCKET_NAME durch den tatsächlichen Namen Ihres S3-Buckets.
URI is a (URI ist ein): Wählen Sie den URI_TYPE entsprechend der Logstream-Konfiguration aus (Single file | Directory | Directory which includes subdirectories (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen)).
Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

Erweiterte Optionen

Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnung

Logfeld	UDM-Zuordnung	Logik
ARN	target.resource.id	Der Wert wird aus dem Feld `ARN` übernommen.
awsAccountId	principal.user.userid	Der Wert wird aus dem Feld `awsAccountId` übernommen.
awsRegion	target.asset.location.country_or_region	Der Wert wird aus dem Feld `awsRegion` übernommen.
configurationItem.awsAccountId	principal.user.userid	Der Wert wird aus dem Feld `configurationItem.awsAccountId` übernommen.
configurationItem.configurationItemCaptureTime	target.asset.attribute.creation_time	Der Wert wird aus dem Feld `configurationItem.configurationItemCaptureTime` übernommen und in einen Zeitstempel konvertiert.
configurationItem.configurationItemStatus	target.asset.attribute.labels.value	Der Wert wird aus dem Feld `configurationItem.configurationItemStatus` übernommen. Der Schlüssel ist auf „Configuration Item Status“ (Status des Konfigurationselements) festgelegt.
configurationItem.relationships.name	additional.fields.value.list_value.values.string_value	Der Wert wird aus dem Feld `configurationItem.relationships.name` übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_names“ festgelegt.
configurationItem.relationships.resourceId	additional.fields.value.list_value.values.string_value	Der Wert wird aus dem Feld `configurationItem.relationships.resourceId` übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_ids“ festgelegt.
configurationItem.relationships.resourceType	additional.fields.value.list_value.values.string_value	Der Wert wird aus dem Feld `configurationItem.relationships.resourceType` übernommen. Der Schlüssel ist auf „configurationItem.relationships.resource_types“ festgelegt.
configurationItem.resourceId	target.resource.id	Der Wert wird aus dem Feld `configurationItem.resourceId` übernommen.
configurationItem.resourceType	target.resource.resource_subtype	Der Wert wird aus dem Feld `configurationItem.resourceType` übernommen.
–	metadata.event_type	Wenn `configurationItemDiff.changeType` „UPDATE“ ist, wird `metadata.event_type` auf „RESOURCE_WRITTEN“ festgelegt. Wenn `configurationItemDiff.changeType` „CREATE“ ist, wird `metadata.event_type` auf „RESOURCE_CREATION“ festgelegt. Wenn `configurationItem.configurationItemStatus` „OK“ oder „ResourceDiscovered“ ist, wird `metadata.event_type` auf „RESOURCE_READ“ gesetzt. Wenn `configurationItem.configurationItemStatus` „ResourceDeleted“ ist, wird `metadata.event_type` auf „RESOURCE_DELETION“ festgelegt. Wenn keine dieser Bedingungen erfüllt ist, wird `metadata.event_type` auf „GENERIC_EVENT“ gesetzt.
–	metadata.log_type	Legen Sie diesen Wert auf „AWS_CONFIG“ fest.
–	metadata.product_name	Legen Sie diesen Wert auf „AWS Config“ fest.
–	metadata.vendor_name	Legen Sie diesen Wert auf „AMAZON“ fest.
–	target.asset.attribute.cloud.environment	Legen Sie diesen Wert auf „AMAZON_WEB_SERVICES“ fest.
–	target.resource.resource_type	Legen Sie diesen Wert auf „VIRTUAL_MACHINE“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten