Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux AWS Config

Compatible avec :

Google SecOps SIEM

Ce document explique comment créer un bucket S3 pour stocker les journaux CloudTrail et comment créer un utilisateur IAM pour récupérer les flux de journaux depuis AWS. AWS Config fournit une vue détaillée de la configuration des ressources AWS dans votre compte AWS. Cela inclut la façon dont les ressources sont liées les unes aux autres et la façon dont elles ont été configurées dans le passé. Vous pouvez ainsi voir comment les configurations et les relations évoluent au fil du temps.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps
Accès privilégié à AWS

Configurer CloudTrail et le bucket AWS S3

Connectez-vous à la console de gestion AWS.
Accédez à la console Amazon S3.
Dans la console AWS, recherchez Cloudtrail.
Cliquez sur Créer un parcours.
Indiquez un nom de parcours.
Sélectionnez Create new S3 bucket (Créer un bucket S3) (vous pouvez également choisir d'utiliser un bucket S3 existant).
Indiquez un nom pour l'alias AWS KMS ou choisissez une clé AWS KMS existante.

Remarque : Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Suivant.
Choisissez Type d'événement, puis ajoutez Événements de données.
Cliquez sur Suivant.
Vérifiez les paramètres, puis cliquez sur Créer un essai.
Dans la console AWS, recherchez S3 Buckets.
Cliquez sur le bucket de journaux que vous venez de créer, puis sélectionnez le dossier AWSLogs.
Cliquez sur Copier l'URI S3 et enregistrez-le.

Configurer la journalisation des appels d'API AWS Config

Dans AWS, accédez à AWS Config > Configurer AWS Config.
Sélectionnez le type de bucket (sélectionnez les détails du bucket existant ou créez-en un).
Sélectionnez toutes les règles gérées par AWS requises, puis cliquez sur Suivant pour sélectionner un bucket.
Consultez AWS Config pour en savoir plus sur les types de règles. Cela vous aidera à sélectionner la règle appropriée en fonction de vos besoins :
- Les règles de conformité permettent d'évaluer les configurations des ressources pour s'assurer qu'elles respectent les normes de conformité ou les exigences réglementaires.
- Règles de configuration : permettent d'évaluer les configurations des ressources pour s'assurer qu'elles respectent les normes de configuration requises.
- Règles de performances : permettent d'évaluer les configurations des ressources pour s'assurer qu'elles sont optimisées pour les performances.
- Règles de sécurité : permettent d'évaluer les configurations des ressources pour s'assurer qu'elles respectent les normes ou exigences de sécurité.
Cliquez sur Créer une configuration.
Accédez à Amazon S3.
Cliquez sur le bucket de journaux que vous venez de créer, puis sélectionnez le dossier AWSLogs.
Cliquez sur Copier l'URI S3 et enregistrez-le.

Configurer un utilisateur AWS IAM

Dans la console AWS, recherchez IAM.
Cliquez sur Utilisateurs.
Cliquez sur Ajouter des utilisateurs.
Attribuez un nom à l'utilisateur (par exemple, chronicle-feed-user).
Sélectionnez Clé d'accès – Accès programmatique comme type d'identifiant AWS.
Cliquez sur Next: Permissions (Suivant : Autorisations).
Sélectionnez Attach existing policies directly (Joindre directement des règles existantes).
Sélectionnez AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.

Cliquez sur Next: Tags (Suivant : Tags).
Facultatif : Ajoutez des tags si nécessaire.
Cliquez sur Suivant : Relire.
Vérifiez la configuration, puis cliquez sur Créer un utilisateur.
Copiez l'ID de clé d'accès et la clé d'accès secrète de l'utilisateur créé.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux :

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, "Journaux AWS Config").
Sélectionnez Amazon S3 comme Type de source.
Sélectionnez AWS Config comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Région : région dans laquelle se trouve le bucket Amazon S3.
- URI S3 : URI du bucket.
  - s3:/BUCKET_NAME
    - Remplacez BUCKET_NAME par le nom réel de votre bucket S3.
- L'URI est un : sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
- Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.
Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- ID de clé d'accès : clé d'accès de l'utilisateur disposant des autorisations de lecture du bucket S3.
- Clé d'accès secrète : clé secrète de l'utilisateur avec les autorisations nécessaires pour lire le bucket S3.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

Région : région dans laquelle se trouve le bucket Amazon S3.
URI S3 : URI du bucket.
- s3:/BUCKET_NAME
  - Remplacez BUCKET_NAME par le nom réel de votre bucket S3.
L'URI est un : sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.
ID de clé d'accès : clé d'accès de l'utilisateur disposant des autorisations de lecture du bucket S3.
Clé d'accès secrète : clé secrète de l'utilisateur avec les autorisations nécessaires pour lire le bucket S3.

Options avancées

Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Mappage UDM

Champ du journal	Mappage UDM	Logique
ARN	target.resource.id	La valeur est extraite du champ `ARN`.
awsAccountId	principal.user.userid	La valeur est extraite du champ `awsAccountId`.
awsRegion	target.asset.location.country_or_region	La valeur est extraite du champ `awsRegion`.
configurationItem.awsAccountId	principal.user.userid	La valeur est extraite du champ `configurationItem.awsAccountId`.
configurationItem.configurationItemCaptureTime	target.asset.attribute.creation_time	La valeur est extraite du champ `configurationItem.configurationItemCaptureTime` et convertie en code temporel.
configurationItem.configurationItemStatus	target.asset.attribute.labels.value	La valeur est extraite du champ `configurationItem.configurationItemStatus`. La clé est définie sur "État de l'élément de configuration".
configurationItem.relationships.name	additional.fields.value.list_value.values.string_value	La valeur est extraite du champ `configurationItem.relationships.name`. La clé est définie sur "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId	additional.fields.value.list_value.values.string_value	La valeur est extraite du champ `configurationItem.relationships.resourceId`. La clé est définie sur "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType	additional.fields.value.list_value.values.string_value	La valeur est extraite du champ `configurationItem.relationships.resourceType`. La clé est définie sur "configurationItem.relationships.resource_types".
configurationItem.resourceId	target.resource.id	La valeur est extraite du champ `configurationItem.resourceId`.
configurationItem.resourceType	target.resource.resource_subtype	La valeur est extraite du champ `configurationItem.resourceType`.
N/A	metadata.event_type	Si `configurationItemDiff.changeType` est défini sur "UPDATE", `metadata.event_type` est défini sur "RESOURCE_WRITTEN". Si `configurationItemDiff.changeType` est défini sur "CREATE", `metadata.event_type` est défini sur "RESOURCE_CREATION". Si `configurationItem.configurationItemStatus` est défini sur "OK" ou "ResourceDiscovered", `metadata.event_type` est défini sur "RESOURCE_READ". Si `configurationItem.configurationItemStatus` est "ResourceDeleted", `metadata.event_type` est défini sur "RESOURCE_DELETION". Si aucune de ces conditions n'est remplie, `metadata.event_type` est défini sur "GENERIC_EVENT".
N/A	metadata.log_type	Défini sur "AWS_CONFIG".
N/A	metadata.product_name	Définissez la valeur sur "AWS Config".
N/A	metadata.vendor_name	Définissez-le sur "AMAZON".
N/A	target.asset.attribute.cloud.environment	Défini sur "AMAZON_WEB_SERVICES".
N/A	target.resource.resource_type	Définissez-le sur "VIRTUAL_MACHINE".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.