收集 AWS Config 日志

支持的语言:

本文档介绍了如何创建新的 S3 存储桶来存储 CloudTrail 日志,以及如何创建 IAM 用户来从 AWS 检索日志 Feed。AWS Config 可详细查看您 AWS 账号中 AWS 资源的配置。这包括资源之间的关联方式以及它们过去的配置方式,以便您了解配置和关联随时间的变化情况。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

配置 CloudTrail 和 AWS S3 存储桶

  1. 登录 AWS 管理控制台。
  2. 前往 Amazon S3 控制台
  3. 在 AWS 控制台中,搜索 Cloudtrail
  4. 点击创建试验
  5. 提供跟踪名称
  6. 选择 Create new S3 bucket(您也可以选择使用现有的 S3 存储桶)。

  7. 提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。

  8. 点击下一步

  9. 选择事件类型并添加数据事件

  10. 点击下一步

  11. 检查设置,然后点击创建轨迹

  12. 在 AWS 控制台中,搜索 S3 存储分区

  13. 点击新创建的日志存储桶,然后选择 AWSLogs 文件夹。

  14. 点击复制 S3 URI 并保存。

配置 AWS Config API 调用日志记录

  1. 在 AWS 中,依次前往 AWS Config > 设置 AWS Config
  2. 选择分桶类型(选择现有分桶详细信息或创建新的分桶详细信息)。
  3. 选择所有必需的 AWS 管理规则,然后点击下一步以选择存储桶。
  4. 如需详细了解规则类型,以便根据您的需求选择合适的规则,请参阅 AWS Config
    • 合规性规则:用于评估资源的配置,以确保其符合合规性标准或监管要求。
    • 配置规则:用于评估资源的配置,以确保其符合所需的配置标准。
    • 性能规则:用于评估资源的配置,以确保它们针对性能进行了优化。
    • 安全规则:用于评估资源配置,以确保其符合安全标准或要求。
  5. 点击创建配置
  6. 前往 Amazon S3
  7. 点击新创建的日志存储桶,然后选择文件夹 AWSLogs
  8. 点击复制 S3 URI 并保存。

配置 AWS IAM 用户

  1. 在 AWS 控制台中,搜索 IAM
  2. 点击用户
  3. 点击添加用户
  4. 为用户提供名称(例如 chronicle-feed-user)。
  5. 选择 Access key - Programmatic access(访问密钥 - 以程序化方式访问)作为 AWS 凭据类型。
  6. 点击 Next: Permissions
  7. 选择 Attach existing policies directly
  8. 选择 AmazonS3ReadOnlyAccessAmazonS3FullAccess
  1. 点击 Next: Tags
  2. 可选:根据需要添加任何标记。
  3. 点击下一步:检查
  4. 检查配置,然后点击 Create user
  5. 复制已创建用户的访问密钥 ID 和私有访问密钥。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 AWS Config Feed

  1. 点击 Amazon Cloud Platform 包。
  2. 找到 AWS Config 日志类型。

  3. 在以下字段中指定值。

    • 来源类型:Amazon SQS V2
    • 队列名称:要从中读取数据的 SQS 队列名称
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。

    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。

    • SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。

    • SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于相应 Feed 中所有事件的标签。

  4. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

UDM 映射

日志字段 UDM 映射 逻辑
ARN target.resource.id 该值取自 ARN 字段。
awsAccountId principal.user.userid 该值取自 awsAccountId 字段。
awsRegion target.asset.location.country_or_region 该值取自 awsRegion 字段。
configurationItem.awsAccountId principal.user.userid 该值取自 configurationItem.awsAccountId 字段。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 该值取自 configurationItem.configurationItemCaptureTime 字段,并转换为时间戳。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 该值取自 configurationItem.configurationItemStatus 字段。键设置为“配置项状态”。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.name 字段。键设置为“configurationItem.relationships.resource_names”。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.resourceId 字段。该键设置为“configurationItem.relationships.resource_ids”。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.resourceType 字段。键设置为“configurationItem.relationships.resource_types”。
configurationItem.resourceId target.resource.id 该值取自 configurationItem.resourceId 字段。
configurationItem.resourceType target.resource.resource_subtype 该值取自 configurationItem.resourceType 字段。
不适用 metadata.event_type 如果 configurationItemDiff.changeType 为“UPDATE”,则将 metadata.event_type 设置为“RESOURCE_WRITTEN”。如果 configurationItemDiff.changeType 为“CREATE”,则将 metadata.event_type 设置为“RESOURCE_CREATION”。如果 configurationItem.configurationItemStatus 为“OK”或“ResourceDiscovered”,则将 metadata.event_type 设置为“RESOURCE_READ”。如果 configurationItem.configurationItemStatus 为“ResourceDeleted”,则将 metadata.event_type 设置为“RESOURCE_DELETION”。如果上述条件均不满足,则将 metadata.event_type 设置为“GENERIC_EVENT”。
不适用 metadata.log_type 设置为“AWS_CONFIG”。
不适用 metadata.product_name 设置为“AWS Config”。
不适用 metadata.vendor_name 设置为“AMAZON”。
不适用 target.asset.attribute.cloud.environment 设置为“AMAZON_WEB_SERVICES”。
不适用 target.resource.resource_type 设置为“VIRTUAL_MACHINE”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。