Mengumpulkan log AWS IAM

Dokumen ini menjelaskan cara menyerap log AWS IAM ke Google Security Operations. Parser mengubah log berformat JSON mentah menjadi Unified Data Model (UDM) terstruktur. Alat ini mengekstrak kolom yang relevan seperti detail pengguna, informasi peran, izin, dan stempel waktu, serta memetakan kolom tersebut ke kolom UDM yang sesuai untuk analisis keamanan yang konsisten.

Sebelum memulai

• Pastikan Anda memiliki instance Google Chronicle.
• Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
2. Simpan Nama dan Region bucket untuk digunakan nanti.
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Next.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
12. Klik Done.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Next.
19. Klik Tambahkan izin.

Mengonfigurasi CloudTrail untuk merekam log IAM

1. Login ke AWS Management Console.
2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
3. Klik Buat jalur.
4. Berikan Trail name; misalnya, IAMActivityTrail.
   • Terapkan uji coba ke semua wilayah: pilih Ya untuk merekam aktivitas di semua wilayah.
   • Lokasi penyimpanan: pilih bucket S3 yang dibuat sebelumnya atau buat bucket baru.
   • Bucket S3: masukkan nama untuk bucket S3; misalnya, iam-logs-bucket.
   • Pilih Buat peran IAM baru (jika belum dibuat sebelumnya).
   • Peristiwa pengelolaan: pilih Baca dan Tulis untuk merekam peristiwa baca dan tulis pada resource IAM.
   • Peristiwa data: aktifkan peristiwa data S3 dan Lambda.
5. Klik Create untuk membuat rekaman aktivitas.

Mengonfigurasi CloudTrail untuk Mengekspor Log ke S3

1. Buka Layanan > S3.
2. Pilih bucket S3 tempat log CloudTrail disimpan; misalnya, iam-logs-bucket.
3. Pastikan CloudTrail memiliki izin yang tepat untuk menulis log ke bucket.

4. Tambahkan kebijakan berikut jika belum ada:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailS3Access",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::your-bucket-name/AWSLogs/*"
       }
     ]
   }
   

5. Aktifkan Pembuatan Versi di bucket S3 untuk memastikan log disimpan dengan beberapa versi.

6. Buka Properties > Bucket Versioning > Enable.

Opsional: Mengonfigurasi Lambda untuk ekspor real-time

1. Buka Konsol Lambda AWS.
2. Klik Create function.
3. Pilih Author from Scratch.
4. Tetapkan nama fungsi sebagai ExportIAMLogsToS3.
5. Pilih runtime Python 3.x.

6. Tetapkan Peran IAM ke fungsi yang memiliki izin untuk:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::your-bucket-name/*"
       }
     ]
   }
   

7. Gunakan kode Python berikut untuk mengambil log IAM dan menguploadnya ke S3:

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='your-s3-bucket-name',
           Key='iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   

• Ganti your-s3-bucket-name dengan nama bucket Anda yang sebenarnya.

Mengonfigurasi Pemicu Lambda untuk CloudWatch Logs

1. Di Lambda Console, buka Designer.
2. Pilih Tambahkan Pemicu > CloudWatch Logs.
3. Pilih grup log CloudWatch Logs yang terkait dengan log IAM Anda; misalnya, /aws/cloudtrail/.
4. Klik Tambahkan.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS IAM

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan baru.
3. Di kolom Nama feed, masukkan nama untuk feed; misalnya, AWS IAM Logs.
4. Pilih Amazon S3 sebagai Source type.
5. Pilih AWS IAM sebagai Jenis log.
6. Klik Next.

7. Tentukan nilai untuk parameter input berikut:

   • Region: region tempat bucket Amazon S3 berada.
   • S3 URI: URI bucket.
     • s3://your-log-bucket-name/
       • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
   • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

   • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

   • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.

   • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket s3.

   • Namespace aset: namespace aset.

   • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

8. Klik Next.

9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Perubahan

2023-12-14

• Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.