Raccogliere i log di AWS Config

Supportato in:

Questo documento spiega come creare un nuovo bucket S3 per archiviare i log CloudTrail e come creare un utente IAM per recuperare i feed di log da AWS. AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. Ciò include il modo in cui le risorse sono correlate tra loro e come sono state configurate in passato, in modo da poter vedere come cambiano le configurazioni e le relazioni nel tempo.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Configura CloudTrail e il bucket AWS S3

  1. Accedi alla console di gestione AWS.
  2. Vai alla console Amazon S3.
  3. Nella console AWS, cerca Cloudtrail.
  4. Fai clic su Crea percorso.
  5. Fornisci un nome della traccia.
  6. Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).

  7. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.

  8. Fai clic su Avanti.

  9. Scegli Tipo di evento e aggiungi Eventi di dati.

  10. Fai clic su Avanti.

  11. Rivedi le impostazioni e fai clic su Crea trail.

  12. Nella console AWS, cerca Bucket S3.

  13. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.

  14. Fai clic su Copia URI S3 e salvalo.

Configura il logging delle chiamate API AWS Config

  1. In AWS, vai a AWS Config > Configura AWS Config.
  2. Seleziona il tipo di bucket (seleziona i dettagli del bucket esistente o creane uno nuovo).
  3. Seleziona tutte le regole gestite da AWS richieste e fai clic su Avanti per selezionare un bucket.
  4. Per informazioni dettagliate sui tipi di regole, consulta AWS Config, che ti aiuterà a selezionare la regola appropriata in base ai tuoi requisiti:
    • Regole di conformità: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard di conformità o i requisiti normativi.
    • Regole di configurazione: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard di configurazione richiesti.
    • Regole di rendimento: consentono di valutare le configurazioni delle risorse per garantire che siano ottimizzate per il rendimento.
    • Regole di sicurezza: consentono di valutare le configurazioni delle risorse per garantire che soddisfino gli standard o i requisiti di sicurezza.
  5. Fai clic su Crea configurazione.
  6. Vai ad Amazon S3.
  7. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs.
  8. Fai clic su Copia URI S3 e salvalo.

Configura l'utente IAM AWS

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti.
  3. Fai clic su Aggiungi utenti.
  4. Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
  5. Seleziona Chiave di accesso - Accesso programmatico come tipo di credenziali AWS.
  6. Fai clic su Avanti: autorizzazioni.
  7. Seleziona Collega direttamente i criteri esistenti.
  8. Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Fai clic su Avanti: tag.
  2. (Facoltativo) Aggiungi eventuali tag, se necessario.
  3. Fai clic su Successivo: esamina.
  4. Rivedi la configurazione e fai clic su Crea utente.
  5. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS Config

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS Config.

  3. Specifica i valori nei seguenti campi.

    • Tipo di origine: Amazon SQS V2
    • Nome coda: il nome della coda SQS da cui leggere
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.

    • Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Mappatura UDM

Campo log Mappatura UDM Logic
ARN target.resource.id Il valore viene estratto dal campo ARN.
awsAccountId principal.user.userid Il valore viene estratto dal campo awsAccountId.
awsRegion target.asset.location.country_or_region Il valore viene estratto dal campo awsRegion.
configurationItem.awsAccountId principal.user.userid Il valore viene estratto dal campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time Il valore viene estratto dal campo configurationItem.configurationItemCaptureTime e convertito in un timestamp.
configurationItem.configurationItemStatus target.asset.attribute.labels.value Il valore viene estratto dal campo configurationItem.configurationItemStatus. La chiave è impostata su "Stato elemento di configurazione".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.name. La chiave è impostata su "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.resourceId. La chiave è impostata su "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value Il valore viene estratto dal campo configurationItem.relationships.resourceType. La chiave è impostata su "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id Il valore viene estratto dal campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype Il valore viene estratto dal campo configurationItem.resourceType.
N/D metadata.event_type Se configurationItemDiff.changeType è "UPDATE", metadata.event_type è impostato su "RESOURCE_WRITTEN". Se configurationItemDiff.changeType è "CREATE", metadata.event_type è impostato su "RESOURCE_CREATION". Se configurationItem.configurationItemStatus è "OK" o "ResourceDiscovered", metadata.event_type è impostato su "RESOURCE_READ". Se configurationItem.configurationItemStatus è "ResourceDeleted", metadata.event_type è impostato su "RESOURCE_DELETION". Se nessuna di queste condizioni viene soddisfatta, metadata.event_type viene impostato su "GENERIC_EVENT".
N/D metadata.log_type Imposta su "AWS_CONFIG".
N/D metadata.product_name Imposta "AWS Config".
N/D metadata.vendor_name Imposta il valore su "AMAZON".
N/D target.asset.attribute.cloud.environment Imposta il valore su "AMAZON_WEB_SERVICES".
N/D target.resource.resource_type Imposta su "VIRTUAL_MACHINE".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.