Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Host AWS EC2

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengintegrasikan log Host AWS EC2 ke Google Security Operations untuk pemantauan dan analisis. Integrasi ini melibatkan penguraian dan pemetaan log host EC2 ke Model Data Terpadu (UDM), melakukan transformasi data, dan membuat hubungan antara host dan instance EC2. Log ini memberikan informasi berharga tentang instance, properti host, jenis instance, dan metrik performa yang dapat digunakan untuk pemantauan keamanan, audit, dan kepatuhan.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
Simpan Nama dan Region bucket untuk digunakan nanti.
Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Next.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
Klik Done.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung
Telusuri dan pilih kebijakan AmazonS3FullAccess.
Klik Next.
Klik Tambahkan izin.

Mengonfigurasi CloudTrail untuk AWS KMS

Login ke AWS Management Console.
Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
Klik Buat jalur.
Berikan Trail name; misalnya, EC2-Activity-Trail.
Centang kotak Aktifkan untuk semua akun di organisasi saya.
Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus: s3://your-log-bucket-name/), atau buat bucket S3 baru.
Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Anda dapat membiarkan setelan lainnya tetap default.
Klik Next.
Pilih Peristiwa pengelolaan dan Peristiwa data di bagian Jenis Peristiwa untuk merekam aktivitas host EC2.
Klik Next.
Tinjau setelan di Tinjau dan buat.
Klik Buat jalur.
Opsional: jika Anda membuat bucket baru, lanjutkan dengan proses berikut:
- Buka S3.
- Identifikasi dan pilih bucket log yang baru dibuat.
- Pilih folder AWSLogs.
- Klik Salin URI S3 dan simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap Host AWS EC2

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Feed name, masukkan nama untuk feed; misalnya, AWS EC2 Hosts Logs.
Pilih Amazon S3 sebagai Source type.
Pilih AWS EC2 Hosts sebagai Log type.
Klik Next.
Tentukan nilai untuk parameter input berikut:
- Region: region tempat bucket Amazon S3 berada.
- S3 URI: URI bucket.
  - s3://your-log-bucket-name/
    - Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
- URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda telah memberikan izin yang sesuai ke akun layanan.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
- Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket s3.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Next.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AllocationTime`	`entity.metadata.creation_timestamp`	Kolom `AllocationTime` diuraikan sebagai stempel waktu dan dipetakan ke kolom `creation_timestamp`. Parser mencoba berbagai format (yyyy-MM-dd HH:mm:ss, RFC 3339, UNIX, ISO8601).
`AllowsMultipleInstanceTypes`	`entity.entity.asset.attribute.labels.value`	Nilai `AllowsMultipleInstanceTypes` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `allows_multiple_instance_types`.
`AutoPlacement`	`entity.entity.asset.attribute.labels.value`	Nilai `AutoPlacement` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `auto_placement`.
`AvailabilityZone`	`entity.entity.asset.attribute.cloud.availability_zone`	Kolom `AvailabilityZone` dipetakan langsung ke kolom `availability_zone`.
`AvailabilityZoneID`	`entity.entity.asset.attribute.labels.value`	Nilai `AvailabilityZoneID` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `availability_zone_id`.
`AvailableCapacity.AvailableInstanceCapacity.AvailableCapacity`	`entity.entity.asset.attribute.labels.value`	Nilai `AvailableCapacity.AvailableInstanceCapacity.AvailableCapacity` (atau `AvailableCapacity.Instance.Available` setelah diganti namanya) dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `available_instance_capacity_available_capacity`.
`AvailableCapacity.AvailableInstanceCapacity.InstanceType`	`entity.entity.asset.attribute.labels.value`	Nilai `AvailableCapacity.AvailableInstanceCapacity.InstanceType` (atau `AvailableCapacity.Instance.Type` setelah diganti namanya) digunakan sebagai nilai label. Kunci ditetapkan ke `available_instance_capacity_instance_type`.
`AvailableCapacity.AvailableInstanceCapacity.TotalCapacity`	`entity.entity.asset.attribute.labels.value`	Nilai `AvailableCapacity.AvailableInstanceCapacity.TotalCapacity` (atau `AvailableCapacity.Instance.Total` setelah diganti namanya) dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `total_capacity`.
`AvailableCapacity.AvailableVCpus`	`entity.entity.asset.attribute.labels.value`	Nilai `AvailableCapacity.AvailableVCpus` (atau `AvailableCapacity.VCPUs` setelah diganti namanya) dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `available_v_cpus`.
`ClientToken`	`entity.entity.asset.attribute.labels.value`	Nilai `ClientToken` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `client_token`.
`HostID`	`entity.metadata.product_entity_id`	Kolom `HostID` (atau `ID` setelah diganti namanya) dipetakan langsung ke kolom `product_entity_id`.
`HostID`	`entity.entity.asset.asset_id`	Kolom `HostID` (atau `ID` setelah diganti namanya) dipetakan langsung ke kolom `asset_id`.
`HostMaintenance`	`entity.entity.asset.attribute.labels.value`	Nilai `HostMaintenance` (atau `Maintenance` setelah diganti namanya) dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `host_maintenance`.
`HostProperties.Cores`	`entity.entity.asset.hardware.cpu_number_cores`	Nilai `HostProperties.Cores` dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke `cpu_number_cores`.
`HostProperties.InstanceFamily`	`entity.entity.asset.attribute.labels.value`	Nilai `HostProperties.InstanceFamily` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `host_properties_instance_family`.
`HostProperties.InstanceType`	`entity.entity.asset.attribute.labels.value`	Nilai `HostProperties.InstanceType` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `host_properties_instance_type`.
`HostProperties.Sockets`	`entity.entity.asset.attribute.labels.value`	Nilai `HostProperties.Sockets` dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `host_properties_sockets`.
`HostProperties.TotalVCpus`	`entity.entity.asset.attribute.labels.value`	Nilai `HostProperties.TotalVCpus` (atau `HostProperties.TotalVCPUs` setelah diganti namanya) dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `host_properties_total_v_cpus`.
`HostRecovery`	`entity.entity.asset.attribute.labels.value`	Nilai `HostRecovery` (atau `Recovery` setelah diganti namanya) dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `host_recovery`.
`HostReservationID`	`entity.entity.asset.attribute.labels.value`	Nilai `HostReservationID` (atau `ReservationID` setelah diganti namanya) dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `host_reservation_id`.
`MemberOfServiceLinkedResourceGroup`	`entity.entity.asset.attribute.labels.value`	Nilai `MemberOfServiceLinkedResourceGroup` dikonversi menjadi string dan digunakan sebagai nilai label. Kunci ditetapkan ke `member_of_service_linked_resource_group`.
`OwnerID`	`entity.entity.asset.attribute.labels.value`	Nilai `OwnerID` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `owner_id`.
`ReleaseTime`	`entity.entity.asset.attribute.labels.value`	Nilai `ReleaseTime` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `release_time`.
`State`	`entity.entity.asset.attribute.labels.value`	Nilai `State` dari log mentah digunakan sebagai nilai label. Kunci untuk label ini ditetapkan ke `state`.
`TagSet`	`entity.entity.asset.attribute.labels`	Array `TagSet` di-iterasi, dan `Key` dan `Value` setiap tag digunakan sebagai kunci dan nilai label. Nilai `AMAZON_WEB_SERVICES` ditetapkan ke kolom ini oleh parser. `collection_time` dari log mentah dipetakan ke kolom `collected_timestamp`. Nilai `ASSET` ditetapkan ke kolom ini oleh parser. Nilai `AWS EC2 HOSTS` ditetapkan ke kolom ini oleh parser. Nilai `AWS` ditetapkan ke kolom ini oleh parser. Hubungan berasal dari kolom `Instances` dan `OutpostArn`, tetapi kolom ini sendiri tidak dipetakan langsung ke objek IDM. Logika parser membuat objek hubungan berdasarkan kolom ini dan menggabungkannya ke dalam array `relations`.
`collection_time`	`entity.metadata.collected_timestamp`	`collection_time` log digunakan sebagai `collected_timestamp` peristiwa.

Perubahan

2024-01-31

Menambahkan dukungan untuk skema baru.

2023-12-14

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.