Recoger registros de AWS Config

Disponible en:

En este documento se explica cómo crear un segmento de S3 para almacenar los registros de CloudTrail y cómo crear un usuario de IAM para recuperar los feeds de registro de AWS. AWS Config ofrece una vista detallada de la configuración de los recursos de AWS en tu cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se configuraron en el pasado para que puedas ver cómo cambian las configuraciones y las relaciones a lo largo del tiempo.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configurar CloudTrail y el bucket de AWS S3

  1. Inicia sesión en la consola de administración de AWS.
  2. Ve a la consola de Amazon S3.
  3. En la consola de AWS, busca Cloudtrail.
  4. Haz clic en Crear recorrido.
  5. Proporciona un nombre de ruta.
  6. Seleccione Create new S3 bucket (Crear nuevo contenedor de S3). También puede usar un contenedor de S3 que ya tenga.

  7. Proporciona un nombre para el alias de AWS KMS o elige una clave de KMS de AWS.

  8. Haz clic en Siguiente.

  9. Elige Tipo de evento y añade Eventos de datos.

  10. Haz clic en Siguiente.

  11. Revisa la configuración y haz clic en Crear registro.

  12. En la consola de AWS, busca S3 Buckets (Contenedores de S3).

  13. Haz clic en el segmento de registro que acabas de crear y selecciona la carpeta AWSLogs.

  14. Haz clic en Copiar URI de S3 y guárdalo.

Configurar el registro de llamadas a la API de AWS Config

  1. En AWS, vaya a AWS Config > Configurar AWS Config.
  2. Seleccione el tipo de contenedor (puede seleccionar los detalles de un contenedor que ya tenga o crear uno).
  3. Seleccione todas las reglas gestionadas por AWS necesarias y haga clic en Siguiente para seleccionar un contenedor.
  4. Consulta AWS Config para obtener información sobre los tipos de reglas que te ayudarán a seleccionar la regla adecuada en función de tus requisitos:
    • Reglas de cumplimiento: permiten evaluar las configuraciones de los recursos para asegurarse de que cumplen los estándares de cumplimiento o los requisitos normativos.
    • Reglas de configuración: permiten evaluar las configuraciones de los recursos para asegurarse de que cumplen los estándares de configuración necesarios.
    • Reglas de rendimiento: permiten evaluar las configuraciones de los recursos para asegurarse de que están optimizadas para el rendimiento.
    • Reglas de seguridad: permiten evaluar las configuraciones de los recursos para asegurarse de que cumplen los estándares o los requisitos de seguridad.
  5. Haz clic en Crear configuración.
  6. Ve a Amazon S3.
  7. Haz clic en el segmento de registro que acabas de crear y selecciona la carpeta AWSLogs.
  8. Haz clic en Copiar URI de S3 y guárdalo.

Configurar un usuario de gestión de identidades y accesos de AWS

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios.
  3. Haz clic en Añadir usuarios.
  4. Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
  5. Seleccione Clave de acceso - Acceso programático como tipo de credencial de AWS.
  6. Haz clic en Siguiente: Permisos.
  7. Seleccione Adjuntar políticas directamente.
  8. Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Haz clic en Siguiente: Etiquetas.
  2. Opcional: Añade las etiquetas que quieras.
  3. Haz clic en Siguiente: Revisar.
  4. Revisa la configuración y haz clic en Crear usuario.
  5. Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS Config

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busque el tipo de registro AWS Config.

  3. Especifique los valores en los campos siguientes.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
    • URI de S3: el URI del segmento.
      • s3://your-log-bucket-name/
        • Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
ARN target.resource.id El valor se toma del campo ARN.
awsAccountId principal.user.userid El valor se toma del campo awsAccountId.
awsRegion target.asset.location.country_or_region El valor se toma del campo awsRegion.
configurationItem.awsAccountId principal.user.userid El valor se toma del campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time El valor se toma del campo configurationItem.configurationItemCaptureTime y se convierte en una marca de tiempo.
configurationItem.configurationItemStatus target.asset.attribute.labels.value El valor se toma del campo configurationItem.configurationItemStatus. La clave es "Configuration Item Status".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.name. La clave es "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceId. La clave es "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value El valor se toma del campo configurationItem.relationships.resourceType. La clave es "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id El valor se toma del campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype El valor se toma del campo configurationItem.resourceType.
N/A metadata.event_type Si configurationItemDiff.changeType es "UPDATE", metadata.event_type se define como "RESOURCE_WRITTEN". Si configurationItemDiff.changeType es "CREATE", metadata.event_type se asigna a "RESOURCE_CREATION". Si configurationItem.configurationItemStatus es "OK" o "ResourceDiscovered", metadata.event_type se define como "RESOURCE_READ". Si configurationItem.configurationItemStatus es "ResourceDeleted", metadata.event_type se define como "RESOURCE_DELETION". Si no se cumple ninguna de estas condiciones, metadata.event_type se define como "GENERIC_EVENT".
N/A metadata.log_type Asigna el valor "AWS_CONFIG".
N/A metadata.product_name Selecciona "AWS Config".
N/A metadata.vendor_name Selecciona "AMAZON".
N/A target.asset.attribute.cloud.environment Asigna el valor "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Asigna el valor "VIRTUAL_MACHINE".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.