Mengumpulkan log AWS IAM

Dokumen ini menjelaskan cara menyerap log AWS IAM ke Google Security Operations. Parser mengubah log berformat JSON mentah menjadi Model Data Terpadu (UDM) terstruktur. Proses ini mengekstrak kolom yang relevan seperti detail pengguna, informasi peran, izin, dan stempel waktu, lalu memetakannya ke kolom UDM yang sesuai untuk analisis keamanan yang konsisten.

Sebelum memulai

• Pastikan Anda memiliki instance Google SecOps.
• Pastikan Anda memiliki akses istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
2. Simpan Nama dan Region bucket untuk digunakan nanti.
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
12. Klik Selesai.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Add permissions.

Mengonfigurasi CloudTrail untuk merekam log IAM

1. Login ke AWS Management Console.
2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
3. Klik Buat jalur.
4. Berikan Nama jejak; misalnya, IAMActivityTrail.
   • Terapkan jejak ke semua wilayah: pilih Ya untuk merekam aktivitas di semua wilayah.
   • Lokasi penyimpanan: pilih bucket S3 yang dibuat sebelumnya atau buat yang baru.
   • Bucket S3: masukkan nama untuk bucket S3; misalnya, iam-logs-bucket.
   • Pilih Buat peran IAM baru (jika belum dibuat sebelumnya).
   • Peristiwa pengelolaan: pilih Baca dan Tulis untuk merekam peristiwa baca dan tulis pada resource IAM.
   • Peristiwa data: aktifkan peristiwa data S3 dan Lambda.
5. Klik Create untuk membuat jejak.

Mengonfigurasi CloudTrail untuk Mengekspor Log ke S3

1. Buka Services > S3.
2. Pilih bucket S3 tempat log CloudTrail disimpan; misalnya, iam-logs-bucket.
3. Pastikan CloudTrail memiliki izin yang tepat untuk menulis log ke bucket.

4. Tambahkan kebijakan berikut jika belum ada:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailS3Access",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::your-bucket-name/AWSLogs/*"
       }
     ]
   }
   

5. Aktifkan Pembuatan Versi di bucket S3 untuk memastikan bahwa log disimpan dengan beberapa versi.

6. Buka Properties > Bucket Versioning > Enable.

Opsional: Mengonfigurasi Lambda untuk ekspor real-time

1. Buka Konsol Lambda AWS.
2. Klik Create function.
3. Pilih Author from Scratch.
4. Tetapkan nama fungsi sebagai ExportIAMLogsToS3.
5. Pilih runtime Python 3.x.

6. Tetapkan Peran IAM ke fungsi yang memiliki izin untuk:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::your-bucket-name/*"
       }
     ]
   }
   

7. Gunakan kode Python berikut untuk mengambil log IAM dan menguploadnya ke S3:

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='your-s3-bucket-name',
           Key='iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   

• Ganti your-s3-bucket-name dengan nama bucket Anda yang sebenarnya.

Mengonfigurasi Pemicu Lambda untuk CloudWatch Logs

1. Di Lambda Console, buka Designer.
2. Pilih Tambahkan Pemicu > CloudWatch Logs.
3. Pilih grup log CloudWatch Logs yang terkait dengan log IAM Anda; misalnya, /aws/cloudtrail/.
4. Klik Tambahkan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

• Setelan SIEM > Feed > Tambahkan Baru
• Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS IAM

1. Klik paket Amazon Cloud Platform.
2. Temukan jenis log AWS IAM.

3. Tentukan nilai di kolom berikut.

   • Jenis Sumber: API pihak ketiga
   • Nama pengguna: Nama pengguna untuk autentikasi
   • Secret: Rahasia untuk mengautentikasi

   Opsi lanjutan

   • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
   • Namespace Aset: Namespace yang terkait dengan feed.
   • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.