AWS Control Tower-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie AWS Control Tower-Logs in Google Security Operations aufnehmen. AWS Control Tower ermöglicht Governance, Compliance und Sicherheitsüberwachung für mehrere AWS-Konten. Mit dieser Integration können Sie Protokolle aus AWS Control Tower analysieren, um die Transparenz und Sicherheit zu verbessern.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Privilegierter Zugriff auf AWS
Amazon S3-Bucket konfigurieren
- Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
- Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
- Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
- Wählen Sie den erstellten Nutzer aus.
- Wählen Sie den Tab Sicherheitsanmeldedaten aus.
- Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
- Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
- Klicken Sie auf Weiter.
- Optional: Fügen Sie ein Beschreibungstag hinzu.
- Klicken Sie auf Zugriffsschlüssel erstellen.
- Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
- Klicken Sie auf Fertig.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Richtlinien direkt anhängen aus.
- Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsFullAccess und wählen Sie sie aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Berechtigungen hinzufügen.
CloudTrail in AWS Control Tower konfigurieren
- Melden Sie sich bei der AWS Management Console an.
- Rufen Sie AWS Control Tower auf.
- Geben Sie in der Suchleiste CloudTrail ein und wählen Sie den Dienst aus der Liste der Dienste aus.
Klicken Sie auf Trail erstellen, um einen neuen Trail zu erstellen.
Einstellungen für den Trail angeben:
- Trail name (Trail-Name): Geben Sie einen aussagekräftigen Namen für den Trail an, z. B. ControlTowerTrail.
- Testzeitraum auf alle Regionen anwenden: Wählen Sie für Testzeitraum auf alle Regionen anwenden die Option Ja aus.
- Verwaltungsereignisse: Die Lese-/Schreibereignisse müssen auf Alle eingestellt sein.
- Optional: Datenereignisse: Aktivieren Sie S3-Datenereignisse und Lambda-Datenereignisse, um detaillierte Datenaktivitäten zu erfassen.
- Optional: Validierung von Logdateien: Aktivieren Sie diese Option, um sicherzustellen, dass Logdateien nach dem Speichern nicht manipuliert werden.
Wählen Sie in der Ereignis-Auswahl aus, ob Verwaltungsereignisse und Datenereignisse protokolliert werden sollen.
CloudTrail konfigurieren
- Rufen Sie die AWS IAM-Konsole auf.
- Klicken Sie auf Rollen.
- Suchen Sie nach der Rolle, die CloudTrail verwendet
AWSServiceRoleForCloudTrail(die Rolle wird automatisch erstellt, wenn Sie CloudTrail einrichten). - Klicken Sie auf dem Tab „Berechtigungen“ für die Rolle auf Richtlinien anhängen.
- Suchen Sie nach
CloudTrailS3DeliveryPolicy. - Klicken Sie das Kästchen neben der Richtlinie
CloudTrailS3DeliveryPolicyan. - Klicken Sie auf Richtlinie anfügen.
- Rufen Sie die AWS CloudTrail-Konsole auf.
- Wählen Sie im Bereich Speicherort die Option S3 als Ziel für Logdateien aus.
- Wählen Sie den zuvor erstellten S3-Bucket aus.
- Klicken Sie auf Zulassen, wenn Sie aufgefordert werden, CloudTrail die Berechtigung zum Schreiben von Logs in den ausgewählten Bucket zu erteilen.
- Prüfen Sie die Einstellungen und klicken Sie auf Erstellen (oder auf Änderungen speichern, wenn Sie einen vorhandenen Trail bearbeiten).
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Control Tower Logs (AWS Control Tower-Protokolle).
- Wählen Sie Amazon S3 als Quelltyp aus.
- Wählen Sie AWS Control Tower als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/- Ersetzen Sie
your-log-bucket-namedurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/- Ersetzen Sie
your-log-bucket-namedurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| awsAccountId | target.user.group_identifiers | Die mit dem Ereignis verknüpfte AWS-Konto-ID. |
| digestPublicKeyFingerprint | target.file.sha1 | Der Fingerabdruck des öffentlichen Schlüssels, der zum Signieren des Digests verwendet wurde. |
| digestPublicKeyFingerprint | target.resource.attribute.labels.value | Der Fingerabdruck des öffentlichen Schlüssels, der zum Signieren des Digests verwendet wurde. |
| digestS3Bucket | target.resource.name | Der Name des S3-Buckets, in dem der Kurzbericht gespeichert ist. |
| digestS3Object | target.file.full_path | Der Pfad zum Digest-Objekt im S3-Bucket. |
| digestSignatureAlgorithm | network.tls.cipher | Der zum Signieren des Digests verwendete Algorithmus. |
| digestSignatureAlgorithm | target.resource.attribute.labels.value | Der zum Signieren des Digests verwendete Algorithmus. |
| digestStartTime | metadata.event_timestamp | Die Startzeit des Digest-Zeitraums. Wird als Ereigniszeit verwendet, wenn „eventTime“ nicht verfügbar ist. |
| eventCategory | security_result.category_details | Die Kategorie des Ereignisses. |
| eventID | metadata.product_log_id | Die eindeutige ID des Ereignisses. |
| eventName | metadata.product_event_type | Der Name des Ereignisses. |
| eventName | security_result.summary | Der Name des Ereignisses, das zum Generieren der Zusammenfassung der Sicherheitsergebnisse verwendet wird. |
| eventSource | target.application | Die Quelle des Ereignisses. |
| eventTime | metadata.event_timestamp | Zeit, zu der das Ereignis aufgetreten ist. |
| eventType | additional.fields.value.string_value | Der Typ des Ereignisses. |
| logFiles.hashValue | about.file.sha256 | SHA-256-Hash der Logdatei. |
| logFiles.s3Bucket | about.resource.name | Der Name des S3-Buckets, in dem die Logdatei gespeichert ist. |
| logFiles.s3Object | about.file.full_path | Der Pfad zum Logdatei-Objekt im S3-Bucket. |
| previousDigestHashValue | target.file.sha256 | Der SHA-256-Hash des vorherigen Digests. |
| recipientAccountId | target.resource.attribute.labels.value | Die AWS-Konto-ID des Empfängers des Ereignisses. |
| Records.awsRegion | principal.location.name | Die AWS-Region, in der das Ereignis aufgetreten ist. |
| Records.errorCode | security_result.rule_id | Der Fehlercode, falls vorhanden, der mit der Anfrage verknüpft ist. |
| Records.errorMessage | security_result.description | Die Fehlermeldung, falls vorhanden, die mit der Anfrage verknüpft ist. |
| Records.eventCategory | security_result.category_details | Die Kategorie des Ereignisses. |
| Records.eventID | metadata.product_log_id | Die eindeutige ID des Ereignisses. |
| Records.eventName | metadata.product_event_type | Der Name des Ereignisses. |
| Records.eventName | security_result.summary | Der Name des Ereignisses, das zum Generieren der Zusammenfassung der Sicherheitsergebnisse verwendet wird. |
| Records.eventSource | target.application | Die Quelle des Ereignisses. |
| Records.eventTime | metadata.event_timestamp | Zeit, zu der das Ereignis aufgetreten ist. |
| Records.eventType | additional.fields.value.string_value | Der Typ des Ereignisses. |
| Records.requestID | target.resource.attribute.labels.value | Die ID der Anfrage. |
| Records.requestParameters.groupName | target.group.group_display_name | Der Name der Gruppe, sofern vorhanden, die mit der Anfrage verknüpft ist. |
| Records.requestParameters.userName | src.user.userid | Der Name des Nutzers, sofern vorhanden, der mit der Anfrage verknüpft ist. |
| Records.requestParameters.userName | src.user.user_display_name | Der Name des Nutzers, sofern vorhanden, der mit der Anfrage verknüpft ist. |
| Records.responseElements.ConsoleLogin | security_action | Das Ergebnis des Konsolenanmeldeversuchs. |
| Records.responseElements.ConsoleLogin | security_result.summary | Das Ergebnis des Konsolenanmeldeversuchs, der zum Generieren der Zusammenfassung der Sicherheitsergebnisse verwendet wird. |
| Records.sourceIPAddress | principal.hostname | Die IP-Adresse des Hauptkontos. Wird als Hostname verwendet, wenn keine gültige IP-Adresse angegeben ist. |
| Records.sourceIPAddress | principal.ip | Die IP-Adresse des Hauptkontos. |
| Records.tlsDetails.cipherSuite | network.tls.cipher | Die Chiffrensammlung, die für die TLS-Verbindung verwendet wird. |
| Records.tlsDetails.tlsVersion | network.tls.version | Die für die Verbindung verwendete TLS-Version. |
| Records.userAgent | network.http.user_agent | Der User-Agent der Anfrage. |
| Records.userIdentity.accessKeyId | additional.fields.value.string_value | Die für die Anfrage verwendete Zugriffsschlüssel-ID. |
| Records.userIdentity.accountId | principal.user.group_identifiers | Die AWS-Konto-ID des Nutzers. |
| Records.userIdentity.arn | principal.user.attribute.labels.value | Der ARN des Nutzers. |
| Records.userIdentity.arn | target.user.userid | Der ARN des Nutzers. Wird als Nutzer-ID verwendet, wenn „userName“ nicht verfügbar ist. |
| Records.userIdentity.principalId | principal.user.product_object_id | Die Prinzipal-ID des Nutzers. |
| Records.userIdentity.sessionContext.attributes.mfaAuthenticated | principal.user.attribute.labels.value | Gibt an, ob für die Anfrage die Multi-Faktor-Authentifizierung verwendet wurde. |
| Records.userIdentity.sessionContext.sessionIssuer.userName | principal.user.userid | Der Nutzername des Nutzers, der die Sitzung gestartet hat. |
| Records.userIdentity.type | principal.resource.type | Der Identitätstyp, der für die Anfrage verwendet wird. |
| Records.userIdentity.userName | target.user.userid | Der Nutzername des Nutzers. |
| - | extensions.auth.mechanism | Legen Sie diesen Wert auf „REMOTE“ fest. |
| - | metadata.event_type | Je nach „eventName“ auf „STATUS_UPDATE“, „USER_RESOURCE_ACCESS“, „USER_LOGIN“ oder „GENERIC_EVENT“ festgelegt. |
| - | metadata.log_type | Legen Sie diesen Wert auf „AWS_CONTROL_TOWER“ fest. |
| - | metadata.product_name | Legen Sie diesen Wert auf „AWS Control Tower“ fest. |
| - | metadata.vendor_name | Legen Sie diesen Wert auf „AWS“ fest. |
| - | principal.asset.attribute.cloud.environment | Legen Sie diesen Wert auf „AMAZON_WEB_SERVICES“ fest. |
| - | security_result.action | Legen Sie basierend auf dem errorCode „ALLOW“ oder „BLOCK“ fest. |
| - | security_result.severity | Legen Sie diesen Wert auf „INFORMATIONAL“ fest. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten