收集 AWS Config 記錄

支援的國家/地區:

本文說明如何建立新的 S3 bucket 來儲存 CloudTrail 記錄,以及如何建立 IAM 使用者,從 AWS 擷取記錄饋給。AWS Config 可詳細查看 AWS 帳戶中 AWS 資源的設定。包括資源之間的關聯,以及資源過去的設定方式,方便您瞭解設定和關係如何隨時間變化。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 CloudTrail 和 AWS S3 值區

  1. 登入 AWS 管理主控台。
  2. 前往 Amazon S3 主控台
  3. 在 AWS 控制台中,搜尋 Cloudtrail
  4. 按一下「建立路徑」
  5. 提供「Trail name」(追蹤記錄名稱)
  6. 選取「Create new S3 bucket」(建立新的 S3 bucket) (您也可以選擇使用現有的 S3 bucket)。
  7. 提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰。

  8. 點選「下一步」

  9. 選擇「事件類型」並新增「資料事件」

  10. 點選「下一步」

  11. 檢查設定,然後按一下「建立追蹤記錄」

  12. 在 AWS 控制台中,搜尋 S3 值區

  13. 按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。

  14. 按一下「複製 S3 URI」並儲存。

設定 AWS Config API 呼叫記錄

  1. 在 AWS 中,依序前往「AWS Config」>「Set up AWS Config」
  2. 選取 bucket 類型 (選取現有 bucket 詳細資料或建立新的 bucket)。
  3. 選取所有必要的 AWS 管理規則,然後按一下「下一步」選取值區。
  4. 請參閱 AWS Config,瞭解規則類型詳情,根據需求選取合適的規則:
    • 法規遵循規則:評估資源的設定,確保符合法規遵循標準或法規要求。
    • 設定規則:可評估資源設定,確保符合必要的設定標準。
    • 成效規則:評估資源設定,確保資源已針對成效進行最佳化。
    • 安全規則:評估資源設定,確保符合安全標準或規定。
  5. 按一下「建立設定」
  6. 前往 Amazon S3
  7. 按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。
  8. 按一下「複製 S3 URI」並儲存。

設定 AWS IAM 使用者

  1. 在 AWS 控制台中,搜尋「IAM」IAM
  2. 按一下「Users」(使用者)
  3. 按一下「新增使用者」
  4. 為使用者命名 (例如 chronicle-feed-user)。
  5. 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
  6. 點選 [Next: Permissions] (下一步:權限)。
  7. 選取「直接附加現有政策」
  8. 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」
  1. 按一下「下一步:代碼」
  2. 選用:視需要新增任何標記。
  3. 按一下 [下一步:檢閱]
  4. 檢查設定,然後按一下「建立使用者」
  5. 複製所建立使用者的存取金鑰 ID 和存取密鑰。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱 (例如 AWS Config Logs)。
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取 AWS Config 做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:

    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:bucket URI。
      • s3:/BUCKET_NAME
        • 請將 BUCKET_NAME 替換為 S3 值區的實際名稱。
    • URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)。
    • 來源刪除選項:根據擷取偏好設定選取刪除選項。
    • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

    • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 值區所在的區域。
  • S3 URI:bucket URI。
    • s3:/BUCKET_NAME
      • 請將 BUCKET_NAME 替換為 S3 值區的實際名稱。
  • URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)。
  • 來源刪除選項:根據擷取偏好設定選取刪除選項。
  • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

  • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應

記錄欄位 UDM 對應 邏輯
ARN target.resource.id 這個值取自 ARN 欄位。
awsAccountId principal.user.userid 這個值取自 awsAccountId 欄位。
awsRegion target.asset.location.country_or_region 這個值取自 awsRegion 欄位。
configurationItem.awsAccountId principal.user.userid 這個值取自 configurationItem.awsAccountId 欄位。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 這個值取自 configurationItem.configurationItemCaptureTime 欄位,並會轉換為時間戳記。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 這個值取自 configurationItem.configurationItemStatus 欄位。索引鍵設為「Configuration Item Status」。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.name 欄位。索引鍵設為「configurationItem.relationships.resource_names」。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.resourceId 欄位。金鑰設為「configurationItem.relationships.resource_ids」。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 這個值取自 configurationItem.relationships.resourceType 欄位。金鑰設為「configurationItem.relationships.resource_types」。
configurationItem.resourceId target.resource.id 這個值取自 configurationItem.resourceId 欄位。
configurationItem.resourceType target.resource.resource_subtype 這個值取自 configurationItem.resourceType 欄位。
不適用 metadata.event_type 如果 configurationItemDiff.changeType 為「UPDATE」,metadata.event_type 會設為「RESOURCE_WRITTEN」。如果 configurationItemDiff.changeType 為「CREATE」,metadata.event_type 會設為「RESOURCE_CREATION」。如果 configurationItem.configurationItemStatus 為「OK」或「ResourceDiscovered」,metadata.event_type 會設為「RESOURCE_READ」。如果 configurationItem.configurationItemStatus 為「ResourceDeleted」,則 metadata.event_type 會設為「RESOURCE_DELETION」。如未符合上述任一條件,metadata.event_type 會設為「GENERIC_EVENT」。
不適用 metadata.log_type 設為「AWS_CONFIG」。
不適用 metadata.product_name 設為「AWS Config」。
不適用 metadata.vendor_name 設為「AMAZON」。
不適用 target.asset.attribute.cloud.environment 設為「AMAZON_WEB_SERVICES」。
不適用 target.resource.resource_type 設為「VIRTUAL_MACHINE」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。