Raccogliere i log di AWS Config

Supportato in:

Questo documento spiega come creare un nuovo bucket S3 per archiviare i log CloudTrail e come creare un utente IAM per recuperare i feed di log da AWS. AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. Ciò include il modo in cui le risorse sono correlate tra loro e come sono state configurate in passato, in modo da poter vedere come cambiano le configurazioni e le relazioni nel tempo.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Configura CloudTrail e il bucket AWS S3

  1. Accedi alla console di gestione AWS.
  2. Vai alla console Amazon S3.
  3. Nella console AWS, cerca Cloudtrail.
  4. Fai clic su Crea percorso.
  5. Fornisci un nome della traccia.
  6. Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).

  7. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.

  8. Fai clic su Avanti.

  9. Scegli Tipo di evento e aggiungi Eventi di dati.

  10. Fai clic su Avanti.

  11. Rivedi le impostazioni e fai clic su Crea trail.

  12. Nella console AWS, cerca Bucket S3.

  13. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.

  14. Fai clic su Copia URI S3 e salvalo.

Configura il logging delle chiamate API AWS Config

  1. In AWS, vai a AWS Config > Configura AWS Config.
  2. Seleziona il tipo di bucket (seleziona i dettagli del bucket esistente o creane uno nuovo).
  3. Seleziona tutte le regole gestite da AWS richieste e fai clic su Avanti per selezionare un bucket.
  4. Per informazioni dettagliate sui tipi di regole, consulta AWS Config, che ti aiuterà a selezionare la regola appropriata in base ai tuoi requisiti:
    • Regole di conformità: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard di conformità o i requisiti normativi.
    • Regole di configurazione: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard di configurazione richiesti.
    • Regole di rendimento: consentono di valutare le configurazioni delle risorse per garantire che siano ottimizzate per il rendimento.
    • Regole di sicurezza: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard o i requisiti di sicurezza.
  5. Fai clic su Crea configurazione.
  6. Vai ad Amazon S3.
  7. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.
  8. Fai clic su Copia URI S3 e salvalo.

Configura l'utente AWS IAM

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti.
  3. Fai clic su Aggiungi utenti.
  4. Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
  5. Seleziona Chiave di accesso - Accesso programmatico come tipo di credenziali AWS.
  6. Fai clic su Avanti: autorizzazioni.
  7. Seleziona Collega direttamente i criteri esistenti.
  8. Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Fai clic su Avanti: tag.
  2. (Facoltativo) Aggiungi eventuali tag, se necessario.
  3. Fai clic su Successivo: esamina.
  4. Rivedi la configurazione e fai clic su Crea utente.
  5. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Log di AWS Config).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona AWS Config come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Region (Regione): la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3:/BUCKET_NAME
        • Sostituisci BUCKET_NAME con il nome effettivo del tuo bucket S3.
    • L'URI è un: seleziona URI_TYPE in base alla configurazione del flusso di log (File singolo | Directory | Directory che include sottodirectory).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Region (Regione): la regione in cui si trova il bucket Amazon S3.
  • URI S3: l'URI del bucket.
    • s3:/BUCKET_NAME
      • Sostituisci BUCKET_NAME con il nome effettivo del tuo bucket S3.
  • L'URI è un: seleziona URI_TYPE in base alla configurazione del flusso di log (File singolo | Directory | Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

  • ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.

  • Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Mappatura UDM

Campo log Mappatura UDM Logic
ARN target.resource.id Il valore viene estratto dal campo ARN.
awsAccountId principal.user.userid Il valore viene estratto dal campo awsAccountId.
awsRegion target.asset.location.country_or_region Il valore viene estratto dal campo awsRegion.
configurationItem.awsAccountId principal.user.userid Il valore viene estratto dal campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Il valore viene estratto dal campo configurationItem.configurationItemCaptureTime e convertito in un timestamp.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Il valore viene estratto dal campo configurationItem.configurationItemStatus. La chiave è impostata su "Stato elemento di configurazione".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.name. La chiave è impostata su "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.resourceId. La chiave è impostata su "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.resourceType. La chiave è impostata su "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id Il valore viene estratto dal campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype Il valore viene estratto dal campo configurationItem.resourceType.
N/D metadata.event_type Se configurationItemDiff.changeType è "UPDATE", metadata.event_type è impostato su "RESOURCE_WRITTEN". Se configurationItemDiff.changeType è "CREATE", metadata.event_type è impostato su "RESOURCE_CREATION". Se configurationItem.configurationItemStatus è "OK" o "ResourceDiscovered", metadata.event_type è impostato su "RESOURCE_READ". Se configurationItem.configurationItemStatus è "ResourceDeleted", metadata.event_type è impostato su "RESOURCE_DELETION". Se nessuna di queste condizioni viene soddisfatta, metadata.event_type viene impostato su "GENERIC_EVENT".
N/D metadata.log_type Imposta su "AWS_CONFIG".
N/D metadata.product_name Imposta "AWS Config".
N/D metadata.vendor_name Imposta il valore su "AMAZON".
N/D target.asset.attribute.cloud.environment Imposta il valore su "AMAZON_WEB_SERVICES".
N/D target.resource.resource_type Imposta su "VIRTUAL_MACHINE".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.