收集 AWS Config 日志

支持的语言:

本文档介绍了如何创建新的 S3 存储桶来存储 CloudTrail 日志,以及如何创建 IAM 用户来从 AWS 检索日志 Feed。AWS Config 可详细查看您 AWS 账号中 AWS 资源的配置。这包括资源之间的关联方式以及它们过去的配置方式,以便您了解配置和关联随时间的变化情况。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

配置 CloudTrail 和 AWS S3 存储桶

  1. 登录 AWS 管理控制台。
  2. 前往 Amazon S3 控制台
  3. 在 AWS 控制台中,搜索 Cloudtrail
  4. 点击创建试验
  5. 提供跟踪名称
  6. 选择 Create new S3 bucket(您也可以选择使用现有的 S3 存储桶)。

  7. 提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。

  8. 点击下一步

  9. 选择事件类型,然后添加数据事件

  10. 点击下一步

  11. 检查设置,然后点击创建轨迹

  12. 在 AWS 控制台中,搜索 S3 存储分区

  13. 点击新创建的日志存储桶,然后选择 AWSLogs 文件夹。

  14. 点击复制 S3 URI 并保存。

配置 AWS Config API 调用日志记录

  1. 在 AWS 中,依次前往 AWS Config > 设置 AWS Config
  2. 选择分桶类型(选择现有分桶详细信息或创建新的分桶详细信息)。
  3. 选择所有必需的 AWS 管理规则,然后点击下一步以选择存储桶。
  4. 如需详细了解规则类型,以便根据您的需求选择合适的规则,请参阅 AWS Config
    • 合规性规则:用于评估资源的配置,以确保其符合合规性标准或监管要求。
    • 配置规则:用于评估资源的配置,以确保其符合所需的配置标准。
    • 性能规则:用于评估资源的配置,以确保它们针对性能进行了优化。
    • 安全规则:用于评估资源配置,以确保其符合安全标准或要求。
  5. 点击创建配置
  6. 前往 Amazon S3
  7. 点击新创建的日志存储桶,然后选择文件夹 AWSLogs
  8. 点击复制 S3 URI 并保存。

配置 AWS IAM 用户

  1. 在 AWS 控制台中,搜索 IAM
  2. 点击用户
  3. 点击添加用户
  4. 为用户提供名称(例如 chronicle-feed-user)。
  5. 选择 Access key - Programmatic access(访问密钥 - 以程序化方式访问)作为 AWS 凭据类型。
  6. 点击 Next: Permissions
  7. 选择 Attach existing policies directly
  8. 选择 AmazonS3ReadOnlyAccessAmazonS3FullAccess
  1. 点击 Next: Tags
  2. 可选:根据需要添加任何标记。
  3. 点击下一步:检查
  4. 检查配置,然后点击 Create user
  5. 复制已创建用户的访问密钥 ID 和私有访问密钥。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如“AWS Config 日志”)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 AWS Config 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI。
      • s3:/BUCKET_NAME
        • BUCKET_NAME 替换为您的 S3 存储桶的实际名称。
    • URI is a:根据日志流配置选择 URI_TYPE(Single file | Directory | Directory which includes subdirectories)。
    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。

    • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

    • 资源命名空间资源命名空间

    • 注入标签:要应用于此 Feed 中事件的标签。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
  • S3 URI:存储桶 URI。
    • s3:/BUCKET_NAME
      • BUCKET_NAME 替换为您的 S3 存储桶的实际名称。
  • URI is a:根据日志流配置选择 URI_TYPE(Single file | Directory | Directory which includes subdirectories)。
  • 源删除选项:根据您的提取偏好设置选择删除选项。

  • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。

  • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射

日志字段 UDM 映射 逻辑
ARN target.resource.id 该值取自 ARN 字段。
awsAccountId principal.user.userid 该值取自 awsAccountId 字段。
awsRegion target.asset.location.country_or_region 该值取自 awsRegion 字段。
configurationItem.awsAccountId principal.user.userid 该值取自 configurationItem.awsAccountId 字段。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 该值取自 configurationItem.configurationItemCaptureTime 字段,并转换为时间戳。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 该值取自 configurationItem.configurationItemStatus 字段。键设置为“配置项状态”。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.name 字段。键设置为“configurationItem.relationships.resource_names”。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.resourceId 字段。该键设置为“configurationItem.relationships.resource_ids”。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 该值取自 configurationItem.relationships.resourceType 字段。键设置为“configurationItem.relationships.resource_types”。
configurationItem.resourceId target.resource.id 该值取自 configurationItem.resourceId 字段。
configurationItem.resourceType target.resource.resource_subtype 该值取自 configurationItem.resourceType 字段。
不适用 metadata.event_type 如果 configurationItemDiff.changeType 为“UPDATE”,则将 metadata.event_type 设置为“RESOURCE_WRITTEN”。如果 configurationItemDiff.changeType 为“CREATE”,则将 metadata.event_type 设置为“RESOURCE_CREATION”。如果 configurationItem.configurationItemStatus 为“OK”或“ResourceDiscovered”,则将 metadata.event_type 设置为“RESOURCE_READ”。如果 configurationItem.configurationItemStatus 为“ResourceDeleted”,则将 metadata.event_type 设置为“RESOURCE_DELETION”。如果上述条件均不满足,则将 metadata.event_type 设置为“GENERIC_EVENT”。
不适用 metadata.log_type 设置为“AWS_CONFIG”。
不适用 metadata.product_name 设置为“AWS Config”。
不适用 metadata.vendor_name 设置为“AMAZON”。
不适用 target.asset.attribute.cloud.environment 设置为“AMAZON_WEB_SERVICES”。
不适用 target.resource.resource_type 设置为“VIRTUAL_MACHINE”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。