Recopila registros de AWS Config

Compatible con:

En este documento, se explica cómo crear un bucket de S3 nuevo para almacenar los registros de CloudTrail y cómo crear un usuario de IAM para recuperar los feeds de registro de AWS. AWS Config proporciona una vista detallada de la configuración de los recursos de AWS en tu cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se configuraron en el pasado para que puedas ver cómo cambian las configuraciones y las relaciones con el tiempo.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configura CloudTrail y el bucket de AWS S3

  1. Accede a la consola de administración de AWS.
  2. Ve a la consola de Amazon S3.
  3. En la consola de AWS, busca Cloudtrail.
  4. Haz clic en Crear ruta.
  5. Proporciona un Nombre del registro de auditoría.
  6. Selecciona Crear un bucket de S3 nuevo (también puedes usar un bucket de S3 existente).

  7. Proporciona un nombre para el alias de AWS KMS o elige una clave de KMS de AWS existente.

  8. Haz clic en Siguiente.

  9. Elige Tipo de evento y agrega Eventos de datos.

  10. Haz clic en Siguiente.

  11. Revisa la configuración y haz clic en Crear ruta.

  12. En la consola de AWS, busca S3 Buckets.

  13. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs.

  14. Haz clic en Copiar URI de S3 y guárdala.

Configura el registro de llamadas a la API de AWS Config

  1. En AWS, ve a AWS Config > Set up AWS Config.
  2. Selecciona el tipo de bucket (selecciona los detalles del bucket existente o crea uno nuevo).
  3. Selecciona todas las reglas administradas por AWS obligatorias y haz clic en Siguiente para seleccionar un bucket.
  4. Consulta AWS Config para obtener detalles sobre los tipos de reglas que te ayudarán a seleccionar la regla adecuada según tus requisitos:
    • Reglas de cumplimiento: Permiten evaluar la configuración de los recursos para garantizar que cumplan con los estándares de cumplimiento o los requisitos reglamentarios.
    • Reglas de configuración: Permiten evaluar la configuración de los recursos para garantizar que cumplan con los estándares de configuración requeridos.
    • Reglas de rendimiento: Permiten evaluar la configuración de los recursos para garantizar que estén optimizados para el rendimiento.
    • Reglas de seguridad: Permiten evaluar la configuración de los recursos para garantizar que cumplan con los estándares o requisitos de seguridad.
  5. Haz clic en Crear configuración.
  6. Ve a Amazon S3.
  7. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs.
  8. Haz clic en Copiar URI de S3 y guárdala.

Configura el usuario de IAM de AWS

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios.
  3. Haz clic en Agregar usuarios.
  4. Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
  5. Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
  6. Haz clic en Next: Permissions.
  7. Selecciona Adjuntar las políticas existentes de forma directa.
  8. Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Haz clic en Siguiente: Etiquetas.
  2. Opcional: Agrega las etiquetas que sean necesarias.
  3. Haz clic en Siguiente: Revisar.
  4. Revisa la configuración y haz clic en Crear usuario.
  5. Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Config).
  5. Selecciona Amazon S3 como el Tipo de fuente.
  6. Selecciona AWS Config como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3:/BUCKET_NAME
        • Reemplaza BUCKET_NAME por el nombre real de tu bucket de S3.
    • El URI es un: Selecciona URI_TYPE según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Región: Es la región en la que se encuentra el bucket de Amazon S3.
  • URI de S3: Es el URI del bucket.
    • s3:/BUCKET_NAME
      • Reemplaza BUCKET_NAME por el nombre real de tu bucket de S3.
  • El URI es un: Selecciona URI_TYPE según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
  • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

  • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

  • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
ARN target.resource.id El valor se toma del campo ARN.
awsAccountId principal.user.userid El valor se toma del campo awsAccountId.
awsRegion target.asset.location.country_or_region El valor se toma del campo awsRegion.
configurationItem.awsAccountId principal.user.userid El valor se toma del campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time El valor se toma del campo configurationItem.configurationItemCaptureTime y se convierte en una marca de tiempo.
configurationItem.configurationItemStatus target.asset.attribute.labels.value El valor se toma del campo configurationItem.configurationItemStatus. La clave se establece en "Estado del elemento de configuración".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.name. La clave se establece en "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceId. La clave se establece en "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceType. La clave se establece en "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id El valor se toma del campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype El valor se toma del campo configurationItem.resourceType.
N/A metadata.event_type Si configurationItemDiff.changeType es "UPDATE", metadata.event_type se establece en "RESOURCE_WRITTEN". Si configurationItemDiff.changeType es "CREATE", metadata.event_type se establece en "RESOURCE_CREATION". Si configurationItem.configurationItemStatus es "OK" o "ResourceDiscovered", metadata.event_type se establece en "RESOURCE_READ". Si configurationItem.configurationItemStatus es "ResourceDeleted", metadata.event_type se establece en "RESOURCE_DELETION". Si no se cumple ninguna de estas condiciones, metadata.event_type se establece en "GENERIC_EVENT".
N/A metadata.log_type Se establece en "AWS_CONFIG".
N/A metadata.product_name Se debe establecer en "AWS Config".
N/A metadata.vendor_name Se debe establecer en "AMAZON".
N/A target.asset.attribute.cloud.environment Se debe establecer en "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Se establece en "VIRTUAL_MACHINE".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.