Coletar registros do AWS Config

Compatível com:

Este documento explica como criar um bucket do S3 para armazenar os registros do CloudTrail e um usuário do IAM para recuperar os feeds de registros da AWS. O AWS Config oferece uma visão detalhada da configuração dos recursos da AWS na sua conta da AWS. Isso inclui como os recursos estão relacionados entre si e como foram configurados no passado para que você possa ver como as configurações e os relacionamentos mudam ao longo do tempo.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Configurar o CloudTrail e o bucket do AWS S3

  1. Faça login no console de gerenciamento da AWS.
  2. Acesse o console do Amazon S3.
  3. No console da AWS, pesquise Cloudtrail.
  4. Clique em Criar rastreamento.
  5. Forneça um Nome do rastreamento.
  6. Selecione Criar bucket do S3 (também é possível usar um bucket do S3 atual).

  7. Forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.

  8. Clique em Próxima.

  9. Escolha Tipo de evento e adicione Eventos de dados.

  10. Clique em Próxima.

  11. Revise as configurações e clique em Criar rastreamento.

  12. No console da AWS, pesquise Buckets do S3.

  13. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.

  14. Clique em Copiar URI do S3 e salve.

Configurar o registro de chamadas da API AWS Config

  1. Na AWS, acesse AWS Config > Configurar o AWS Config.
  2. Selecione o tipo de bucket (escolha os detalhes de um bucket existente ou crie um novo).
  3. Selecione todas as regras gerenciadas pela AWS necessárias e clique em Próxima para escolher um bucket.
  4. Consulte o AWS Config para detalhes sobre os tipos de regras e selecione a mais adequada com base nos seus requisitos:
    • Regras de compliance: permitem avaliar as configurações dos recursos para garantir que eles atendam aos padrões de compliance ou aos requisitos regulamentares.
    • Regras de configuração: permitem avaliar as configurações dos recursos para garantir que atendam aos padrões de configuração necessários.
    • Regras de performance: permitem avaliar as configurações de recursos para garantir que eles estejam otimizados para a performance.
    • Regras de segurança: permitem avaliar as configurações dos recursos para garantir que eles atendam aos padrões ou requisitos de segurança.
  5. Clique em Criar configuração.
  6. Acesse Amazon S3.
  7. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.
  8. Clique em Copiar URI do S3 e salve.

Configurar o usuário do IAM da AWS

  1. No console da AWS, pesquise IAM.
  2. Clique em Usuários.
  3. Clique em Adicionar usuários.
  4. Forneça um nome para o usuário (por exemplo, chronicle-feed-user).
  5. Selecione Chave de acesso - Acesso programático como o tipo de credencial da AWS.
  6. Clique em Next: Permissions.
  7. Selecione Anexar políticas atuais diretamente.
  8. Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
  1. Clique em Avançar: tags.
  2. Opcional: adicione tags, se necessário.
  3. Clique em PRÓXIMO: REVISAR.
  4. Revise a configuração e clique em Criar usuário.
  5. Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Config

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro AWS Config.

  3. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
ARN target.resource.id O valor é extraído do campo ARN.
awsAccountId principal.user.userid O valor é extraído do campo awsAccountId.
awsRegion target.asset.location.country_or_region O valor é extraído do campo awsRegion.
configurationItem.awsAccountId principal.user.userid O valor é extraído do campo configurationItem.awsAccountId.
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time O valor é extraído do campo configurationItem.configurationItemCaptureTime e convertido em um carimbo de data/hora.
configurationItem.configurationItemStatus target.asset.attribute.labels.value O valor é extraído do campo configurationItem.configurationItemStatus. A chave é definida como "Status do item de configuração".
configurationItem.relationships.name additional.fields.value.list_value.values.string_value O valor é extraído do campo configurationItem.relationships.name. A chave é definida como "configurationItem.relationships.resource_names".
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value O valor é extraído do campo configurationItem.relationships.resourceId. A chave é definida como "configurationItem.relationships.resource_ids".
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value O valor é extraído do campo configurationItem.relationships.resourceType. A chave é definida como "configurationItem.relationships.resource_types".
configurationItem.resourceId target.resource.id O valor é extraído do campo configurationItem.resourceId.
configurationItem.resourceType target.resource.resource_subtype O valor é extraído do campo configurationItem.resourceType.
N/A metadata.event_type Se configurationItemDiff.changeType for "UPDATE", metadata.event_type será definido como "RESOURCE_WRITTEN". Se configurationItemDiff.changeType for "CREATE", metadata.event_type será definido como "RESOURCE_CREATION". Se configurationItem.configurationItemStatus for "OK" ou "ResourceDiscovered", metadata.event_type será definido como "RESOURCE_READ". Se configurationItem.configurationItemStatus for "ResourceDeleted", metadata.event_type será definido como "RESOURCE_DELETION". Se nenhuma dessas condições for atendida, o metadata.event_type será definido como "GENERIC_EVENT".
N/A metadata.log_type Defina como "AWS_CONFIG".
N/A metadata.product_name Defina como "AWS Config".
N/A metadata.vendor_name Defina como "AMAZON".
N/A target.asset.attribute.cloud.environment Defina como "AMAZON_WEB_SERVICES".
N/A target.resource.resource_type Defina como "VIRTUAL_MACHINE".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.