Coletar registros do AWS Config
Este documento explica como criar um bucket do S3 para armazenar os registros do CloudTrail e um usuário do IAM para recuperar os feeds de registros da AWS. O AWS Config oferece uma visão detalhada da configuração dos recursos da AWS na sua conta da AWS. Isso inclui como os recursos estão relacionados entre si e como foram configurados no passado para que você possa ver como as configurações e os relacionamentos mudam ao longo do tempo.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado à AWS
Configurar o CloudTrail e o bucket do AWS S3
- Faça login no console de gerenciamento da AWS.
- Acesse o console do Amazon S3.
- No console da AWS, pesquise Cloudtrail.
- Clique em Criar rastreamento.
- Forneça um Nome do rastreamento.
- Selecione Criar bucket do S3 (também é possível usar um bucket do S3 atual).
Forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.
Clique em Próxima.
Escolha Tipo de evento e adicione Eventos de dados.
Clique em Próxima.
Revise as configurações e clique em Criar rastreamento.
No console da AWS, pesquise Buckets do S3.
Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.
Clique em Copiar URI do S3 e salve.
Configurar o registro de chamadas da API AWS Config
- Na AWS, acesse AWS Config > Configurar o AWS Config.
- Selecione o tipo de bucket (escolha os detalhes de um bucket existente ou crie um novo).
- Selecione todas as regras gerenciadas pela AWS necessárias e clique em Próxima para escolher um bucket.
- Consulte o AWS Config para detalhes sobre os tipos de regras e selecione a mais adequada com base nos seus requisitos:
- Regras de compliance: permitem avaliar as configurações dos recursos para garantir que eles atendam aos padrões de compliance ou aos requisitos regulamentares.
- Regras de configuração: permitem avaliar as configurações dos recursos para garantir que atendam aos padrões de configuração necessários.
- Regras de performance: permitem avaliar as configurações de recursos para garantir que eles estejam otimizados para a performance.
- Regras de segurança: permitem avaliar as configurações dos recursos para garantir que eles atendam aos padrões ou requisitos de segurança.
- Clique em Criar configuração.
- Acesse Amazon S3.
- Clique no bucket de registros recém-criado e selecione a pasta AWSLogs.
- Clique em Copiar URI do S3 e salve.
Configurar o usuário do IAM da AWS
- No console da AWS, pesquise IAM.
- Clique em Usuários.
- Clique em Adicionar usuários.
- Forneça um nome para o usuário (por exemplo, chronicle-feed-user).
- Selecione Chave de acesso - Acesso programático como o tipo de credencial da AWS.
- Clique em Next: Permissions.
- Selecione Anexar políticas atuais diretamente.
- Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
- Clique em Avançar: tags.
- Opcional: adicione tags, se necessário.
- Clique em PRÓXIMO: REVISAR.
- Revise a configuração e clique em Criar usuário.
- Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em Configurações do SIEM > Feeds
Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Para configurar um único feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo, "Registros do AWS Config").
- Selecione Amazon S3 como o Tipo de origem.
- Selecione "AWS Config" como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3:/BUCKET_NAME- Substitua
BUCKET_NAMEpelo nome real do seu bucket do S3.
- Substitua
- O URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3:/BUCKET_NAME- Substitua
BUCKET_NAMEpelo nome real do seu bucket do S3.
- Substitua
- O URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Mapeamento do UDM
| Campo de registro | Mapeamento da UDM | Lógica |
|---|---|---|
| ARN | target.resource.id | O valor é extraído do campo ARN. |
| awsAccountId | principal.user.userid | O valor é extraído do campo awsAccountId. |
| awsRegion | target.asset.location.country_or_region | O valor é extraído do campo awsRegion. |
| configurationItem.awsAccountId | principal.user.userid | O valor é extraído do campo configurationItem.awsAccountId. |
| configurationItem.configurationItemCaptureTime | target.asset.attribute.creation_time | O valor é extraído do campo configurationItem.configurationItemCaptureTime e convertido em um carimbo de data/hora. |
| configurationItem.configurationItemStatus | target.asset.attribute.labels.value | O valor é extraído do campo configurationItem.configurationItemStatus. A chave é definida como "Status do item de configuração". |
| configurationItem.relationships.name | additional.fields.value.list_value.values.string_value | O valor é extraído do campo configurationItem.relationships.name. A chave é definida como "configurationItem.relationships.resource_names". |
| configurationItem.relationships.resourceId | additional.fields.value.list_value.values.string_value | O valor é extraído do campo configurationItem.relationships.resourceId. A chave é definida como "configurationItem.relationships.resource_ids". |
| configurationItem.relationships.resourceType | additional.fields.value.list_value.values.string_value | O valor é extraído do campo configurationItem.relationships.resourceType. A chave é definida como "configurationItem.relationships.resource_types". |
| configurationItem.resourceId | target.resource.id | O valor é extraído do campo configurationItem.resourceId. |
| configurationItem.resourceType | target.resource.resource_subtype | O valor é extraído do campo configurationItem.resourceType. |
| N/A | metadata.event_type | Se configurationItemDiff.changeType for "UPDATE", metadata.event_type será definido como "RESOURCE_WRITTEN". Se configurationItemDiff.changeType for "CREATE", metadata.event_type será definido como "RESOURCE_CREATION". Se configurationItem.configurationItemStatus for "OK" ou "ResourceDiscovered", metadata.event_type será definido como "RESOURCE_READ". Se configurationItem.configurationItemStatus for "ResourceDeleted", metadata.event_type será definido como "RESOURCE_DELETION". Se nenhuma dessas condições for atendida, o metadata.event_type será definido como "GENERIC_EVENT". |
| N/A | metadata.log_type | Defina como "AWS_CONFIG". |
| N/A | metadata.product_name | Defina como "AWS Config". |
| N/A | metadata.vendor_name | Defina como "AMAZON". |
| N/A | target.asset.attribute.cloud.environment | Defina como "AMAZON_WEB_SERVICES". |
| N/A | target.resource.resource_type | Defina como "VIRTUAL_MACHINE". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.