Recolha registos do AWS Config

Compatível com:

Este documento explica como criar um novo contentor do S3 para armazenar os registos do CloudTrail e como criar um utilizador do IAM para obter os feeds de registos da AWS. O AWS Config oferece uma vista detalhada da configuração dos recursos da AWS na sua conta da AWS. Isto inclui a forma como os recursos estão relacionados entre si e como foram configurados no passado, para que possa ver como as configurações e as relações mudam ao longo do tempo.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Configure o CloudTrail e o contentor do AWS S3

  1. Inicie sessão na AWS Management Console.
  2. Aceda à consola do Amazon S3.
  3. Na consola da AWS, pesquise Cloudtrail.
  4. Clique em Criar trilho.
  5. Indique um nome do rasto.
  6. Selecione Criar novo contentor do S3 (também pode optar por usar um contentor do S3 existente).

  7. Indique um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS existente.

  8. Clicar em Seguinte.

  9. Escolha Tipo de evento e adicione Eventos de dados.

  10. Clicar em Seguinte.

  11. Reveja as definições e clique em Criar trilho.

  12. Na consola da AWS, pesquise S3 Buckets.

  13. Clique no contentor de registos recém-criado e selecione a pasta AWSLogs.

  14. Clique em Copiar URI do S3 e guarde-o.

Configure o registo de chamadas da API AWS Config

  1. Na AWS, aceda a AWS Config > Configurar AWS Config.
  2. Selecione o tipo de contentor (selecione os detalhes do contentor existente ou crie um novo).
  3. Selecione todas as regras geridas pela AWS necessárias e clique em Seguinte para selecionar um contentor.
  4. Consulte o AWS Config para ver detalhes sobre os tipos de regras que ajudam a selecionar a regra adequada com base nos seus requisitos:
    • Regras de conformidade: permitem avaliar as configurações dos recursos para garantir que cumprem as normas de conformidade ou os requisitos regulamentares.
    • Regras de configuração: permitem avaliar as configurações dos recursos para garantir que cumprem as normas de configuração necessárias.
    • Regras de desempenho: permitem avaliar as configurações dos recursos para garantir que estão otimizadas em função do desempenho.
    • Regras de segurança: permitem avaliar as configurações dos recursos para garantir que cumprem as normas ou os requisitos de segurança.
  5. Clique em Criar configuração.
  6. Aceda ao Amazon S3.
  7. Clique no contentor de registos recém-criado e selecione a pasta AWSLogs.
  8. Clique em Copiar URI do S3 e guarde-o.

Configure o utilizador do IAM da AWS

  1. Na consola da AWS, pesquise IAM.
  2. Clique em Utilizadores.
  3. Clique em Adicionar utilizadores.
  4. Indique um nome para o utilizador (por exemplo, chronicle-feed-user).
  5. Selecione Chave de acesso – Acesso programático como o tipo de credencial da AWS.
  6. Clique em Seguinte: autorizações.
  7. Selecione Anexar políticas existentes diretamente.
  8. Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
  1. Clique em Seguinte: Etiquetas.
  2. Opcional: adicione etiquetas, se necessário.
  3. Clique em Seguinte: rever.
  4. Reveja a configuração e clique em Criar utilizador.
  5. Copie o ID da chave de acesso e a chave de acesso secreta do utilizador criado.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Config

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registo AWS Config.

  3. Especifique os valores nos seguintes campos.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila SQS a partir da qual ler
    • URI do S3: o URI do contentor.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

    • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Mapeamento de UDM

Campo de registo Mapeamento do UDM Lógica
ARN target.resource.id O valor é retirado do campo ARN.
awsAccountId principal.user.userid O valor é retirado do campo awsAccountId.
awsRegion target.asset.location.country_or_region O valor é retirado do campo awsRegion.
configurationItem.awsAccountId principal.user.userid O valor é retirado do campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time O valor é retirado do campo configurationItem.configurationItemCaptureTime e convertido numa indicação de tempo.
configurationItem.configurationItemStatus target.asset.attribute.labels.value O valor é retirado do campo configurationItem.configurationItemStatus. A chave está definida como "Configuration Item Status" (Estado do item de configuração).
configurationItem.relationships.name additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.name. A chave está definida como "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.resourceId. A chave está definida como "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value O valor é retirado do campo configurationItem.relationships.resourceType. A chave está definida como "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id O valor é retirado do campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype O valor é retirado do campo configurationItem.resourceType.
N/A metadata.event_type Se configurationItemDiff.changeType for "UPDATE", metadata.event_type é definido como "RESOURCE_WRITTEN". Se configurationItemDiff.changeType for "CREATE", metadata.event_type é definido como "RESOURCE_CREATION". Se configurationItem.configurationItemStatus for "OK" ou "ResourceDiscovered", metadata.event_type é definido como "RESOURCE_READ". Se configurationItem.configurationItemStatus for "ResourceDeleted", metadata.event_type é definido como "RESOURCE_DELETION". Se nenhuma destas condições for cumprida, metadata.event_type é definido como "GENERIC_EVENT".
N/A metadata.log_type Definido como "AWS_CONFIG".
N/A metadata.product_name Defina como "AWS Config".
N/A metadata.vendor_name Definido como "AMAZON".
N/A target.asset.attribute.cloud.environment Definido como "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Definido como "VIRTUAL_MACHINE".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.