收集 AWS Config 記錄
本文說明如何建立新的 S3 bucket 來儲存 CloudTrail 記錄,以及如何建立 IAM 使用者,從 AWS 擷取記錄饋給。AWS Config 可詳細查看 AWS 帳戶中 AWS 資源的設定。包括資源之間的關聯,以及資源過去的設定方式,方便您瞭解設定和關係如何隨時間變化。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
設定 CloudTrail 和 AWS S3 值區
- 登入 AWS 管理主控台。
- 前往 Amazon S3 主控台。
- 在 AWS 控制台中,搜尋 Cloudtrail。
- 按一下「建立路徑」。
- 提供「Trail name」(追蹤記錄名稱)。
- 選取「Create new S3 bucket」(建立新的 S3 bucket) (您也可以選擇使用現有的 S3 bucket)。
提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰。
點選「下一步」。
選擇「事件類型」並新增「資料事件」。
點選「下一步」。
檢查設定,然後按一下「建立追蹤記錄」。
在 AWS 控制台中,搜尋 S3 值區。
按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。
按一下「複製 S3 URI」並儲存。
設定 AWS Config API 呼叫記錄
- 在 AWS 中,依序前往「AWS Config」>「Set up AWS Config」。
- 選取 bucket 類型 (選取現有 bucket 詳細資料或建立新的 bucket)。
- 選取所有必要的 AWS 管理規則,然後按一下「下一步」選取值區。
- 請參閱 AWS Config,瞭解規則類型詳情,根據需求選取合適的規則:
- 法規遵循規則:評估資源的設定,確保符合法規遵循標準或法規要求。
- 設定規則:可評估資源設定,確保符合必要的設定標準。
- 成效規則:評估資源設定,確保資源已針對成效進行最佳化。
- 安全規則:評估資源設定,確保符合安全標準或規定。
- 按一下「建立設定」。
- 前往 Amazon S3。
- 按一下新建立的記錄檔 bucket,然後選取「AWSLogs」AWSLogs資料夾。
- 按一下「複製 S3 URI」並儲存。
設定 AWS IAM 使用者
- 在 AWS 控制台中,搜尋「IAM」IAM。
- 按一下「Users」(使用者)。
- 按一下「新增使用者」。
- 為使用者命名 (例如 chronicle-feed-user)。
- 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
- 點選 [Next: Permissions] (下一步:權限)。
- 選取「直接附加現有政策」。
- 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」。
- 按一下「下一步:代碼」。
- 選用:視需要新增任何標記。
- 按一下 [下一步:檢閱]。
- 檢查設定,然後按一下「建立使用者」。
- 複製所建立使用者的存取金鑰 ID 和存取密鑰。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱 (例如 AWS Config Logs)。
- 選取「Amazon S3」做為「來源類型」。
- 選取 AWS Config 做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3:/BUCKET_NAME
- 請將
BUCKET_NAME
替換為 S3 值區的實際名稱。
- 請將
- URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3:/BUCKET_NAME
- 請將
BUCKET_NAME
替換為 S3 值區的實際名稱。
- 請將
- URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
ARN | target.resource.id | 這個值取自 ARN 欄位。 |
awsAccountId | principal.user.userid | 這個值取自 awsAccountId 欄位。 |
awsRegion | target.asset.location.country_or_region | 這個值取自 awsRegion 欄位。 |
configurationItem.awsAccountId | principal.user.userid | 這個值取自 configurationItem.awsAccountId 欄位。 |
configurationItem.configurationItemCaptureTime | target.asset.attribute.creation_time | 這個值取自 configurationItem.configurationItemCaptureTime 欄位,並會轉換為時間戳記。 |
configurationItem.configurationItemStatus | target.asset.attribute.labels.value | 這個值取自 configurationItem.configurationItemStatus 欄位。索引鍵設為「Configuration Item Status」。 |
configurationItem.relationships.name | additional.fields.value.list_value.values.string_value | 這個值取自 configurationItem.relationships.name 欄位。索引鍵設為「configurationItem.relationships.resource_names」。 |
configurationItem.relationships.resourceId | additional.fields.value.list_value.values.string_value | 這個值取自 configurationItem.relationships.resourceId 欄位。金鑰設為「configurationItem.relationships.resource_ids」。 |
configurationItem.relationships.resourceType | additional.fields.value.list_value.values.string_value | 這個值取自 configurationItem.relationships.resourceType 欄位。金鑰設為「configurationItem.relationships.resource_types」。 |
configurationItem.resourceId | target.resource.id | 這個值取自 configurationItem.resourceId 欄位。 |
configurationItem.resourceType | target.resource.resource_subtype | 這個值取自 configurationItem.resourceType 欄位。 |
不適用 | metadata.event_type | 如果 configurationItemDiff.changeType 為「UPDATE」,metadata.event_type 會設為「RESOURCE_WRITTEN」。如果 configurationItemDiff.changeType 為「CREATE」,metadata.event_type 會設為「RESOURCE_CREATION」。如果 configurationItem.configurationItemStatus 為「OK」或「ResourceDiscovered」,metadata.event_type 會設為「RESOURCE_READ」。如果 configurationItem.configurationItemStatus 為「ResourceDeleted」,則 metadata.event_type 會設為「RESOURCE_DELETION」。如未符合上述任一條件,metadata.event_type 會設為「GENERIC_EVENT」。 |
不適用 | metadata.log_type | 設為「AWS_CONFIG」。 |
不適用 | metadata.product_name | 設為「AWS Config」。 |
不適用 | metadata.vendor_name | 設為「AMAZON」。 |
不適用 | target.asset.attribute.cloud.environment | 設為「AMAZON_WEB_SERVICES」。 |
不適用 | target.resource.resource_type | 設為「VIRTUAL_MACHINE」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。