Mengumpulkan log AWS Config

Didukung di:

Dokumen ini menjelaskan cara membuat bucket S3 baru untuk menyimpan log CloudTrail dan cara membuat pengguna IAM untuk mengambil feed log dari AWS. AWS Config memberikan tampilan mendetail tentang konfigurasi resource AWS di akun AWS Anda. Hal ini mencakup bagaimana hubungan antar-resource dan bagaimana konfigurasi resource tersebut di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengonfigurasi bucket CloudTrail dan AWS S3

  1. Login ke AWS Management Console.
  2. Buka konsol Amazon S3.
  3. Di konsol AWS, telusuri Cloudtrail.
  4. Klik Buat jalur.
  5. Berikan Nama jejak.
  6. Pilih Buat bucket S3 baru (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).

  7. Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.

  8. Klik Berikutnya.

  9. Pilih Jenis peristiwa dan tambahkan Peristiwa data.

  10. Klik Berikutnya.

  11. Tinjau setelan, lalu klik Buat jejak audit.

  12. Di konsol AWS, cari S3 Buckets.

  13. Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.

  14. Klik Copy S3 URI dan simpan.

Mengonfigurasi Logging Panggilan API AWS Config

  1. Di AWS, buka AWS Config > Siapkan AWS Config.
  2. Pilih jenis bucket (pilih detail bucket yang ada atau buat bucket baru).
  3. Pilih semua aturan yang dikelola AWS yang diperlukan, lalu klik Berikutnya untuk memilih bucket.
  4. Lihat AWS Config untuk mengetahui detail tentang jenis aturan guna membantu Anda memilih aturan yang sesuai berdasarkan persyaratan Anda:
    • Aturan kepatuhan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource tersebut memenuhi standar kepatuhan atau persyaratan peraturan.
    • Aturan konfigurasi: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa konfigurasi tersebut memenuhi standar konfigurasi yang diperlukan.
    • Aturan performa: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource dioptimalkan untuk performa.
    • Aturan keamanan: memungkinkan evaluasi konfigurasi resource untuk memastikan bahwa resource tersebut memenuhi standar atau persyaratan keamanan.
  5. Klik Create config.
  6. Buka Amazon S3.
  7. Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs.
  8. Klik Copy S3 URI dan simpan.

Mengonfigurasi Pengguna IAM AWS

  1. Di konsol AWS, telusuri IAM.
  2. Klik Pengguna.
  3. Klik Tambahkan Pengguna.
  4. Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
  5. Pilih Kunci akses - Akses terprogram sebagai jenis kredensial AWS.
  6. Klik Berikutnya: Izin.
  7. Pilih Lampirkan kebijakan yang ada secara langsung.
  8. Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
  1. Klik Berikutnya: Tanda.
  2. Opsional: Tambahkan tag jika diperlukan.
  3. Klik Berikutnya: Tinjau.
  4. Tinjau konfigurasi, lalu klik Buat pengguna.
  5. Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS Config

  1. Klik paket Amazon Cloud Platform.
  2. Cari jenis log AWS Config.

  3. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Pemetaan UDM

Kolom log Pemetaan UDM Logika
ARN target.resource.id Nilai diambil dari kolom ARN.
awsAccountId principal.user.userid Nilai diambil dari kolom awsAccountId.
awsRegion target.asset.location.country_or_region Nilai diambil dari kolom awsRegion.
configurationItem.awsAccountId principal.user.userid Nilai diambil dari kolom configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Nilai diambil dari kolom configurationItem.configurationItemCaptureTime dan dikonversi menjadi stempel waktu.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Nilai diambil dari kolom configurationItem.configurationItemStatus. Kuncinya disetel ke "Status Item Konfigurasi".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.name. Kunci ditetapkan ke "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.resourceId. Kuncinya ditetapkan ke "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Nilai diambil dari kolom configurationItem.relationships.resourceType. Kuncinya ditetapkan ke "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id Nilai diambil dari kolom configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype Nilai diambil dari kolom configurationItem.resourceType.
T/A metadata.event_type Jika configurationItemDiff.changeType adalah "UPDATE", metadata.event_type ditetapkan ke "RESOURCE_WRITTEN". Jika configurationItemDiff.changeType adalah "CREATE", metadata.event_type ditetapkan ke "RESOURCE_CREATION". Jika configurationItem.configurationItemStatus adalah "OK" atau "ResourceDiscovered", metadata.event_type ditetapkan ke "RESOURCE_READ". Jika configurationItem.configurationItemStatus adalah "ResourceDeleted", metadata.event_type ditetapkan ke "RESOURCE_DELETION". Jika tidak satu pun kondisi ini terpenuhi, metadata.event_type akan disetel ke "GENERIC_EVENT".
T/A metadata.log_type Tetapkan ke "AWS_CONFIG".
T/A metadata.product_name Tetapkan ke "AWS Config".
T/A metadata.vendor_name Tetapkan ke "AMAZON".
T/A target.asset.attribute.cloud.environment Tetapkan ke "AMAZON_WEB_SERVICES".
T/A target.resource.resource_type Tetapkan ke "VIRTUAL_MACHINE".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.