Mengumpulkan log AWS IAM

Dokumen ini menjelaskan cara menyerap log AWS IAM ke Google Security Operations. Parser mengubah log berformat JSON mentah menjadi Model Data Terpadu (UDM) terstruktur. Proses ini mengekstrak kolom yang relevan seperti detail pengguna, informasi peran, izin, dan stempel waktu, lalu memetakannya ke kolom UDM yang sesuai untuk analisis keamanan yang konsisten.

Sebelum memulai

• Pastikan Anda memiliki instance Google SecOps.
• Pastikan Anda memiliki akses istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
2. Simpan Nama dan Region bucket untuk digunakan nanti.
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
12. Klik Selesai.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Tambahkan izin.

Mengonfigurasi CloudTrail untuk merekam log IAM

1. Login ke AWS Management Console.
2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
3. Klik Buat jalur.
4. Berikan Nama jejak; misalnya, IAMActivityTrail.
   • Terapkan jejak ke semua wilayah: pilih Ya untuk merekam aktivitas di semua wilayah.
   • Lokasi penyimpanan: pilih bucket S3 yang dibuat sebelumnya atau buat yang baru.
   • Bucket S3: masukkan nama untuk bucket S3; misalnya, iam-logs-bucket.
   • Pilih Buat peran IAM baru (jika belum dibuat sebelumnya).
   • Peristiwa pengelolaan: pilih Baca dan Tulis untuk merekam peristiwa baca dan tulis pada resource IAM.
   • Peristiwa data: aktifkan peristiwa data S3 dan Lambda.
5. Klik Create untuk membuat jejak.

Mengonfigurasi CloudTrail untuk Mengekspor Log ke S3

1. Buka Services > S3.
2. Pilih bucket S3 tempat log CloudTrail disimpan; misalnya, iam-logs-bucket.
3. Pastikan CloudTrail memiliki izin yang tepat untuk menulis log ke bucket.

4. Tambahkan kebijakan berikut jika belum ada:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailS3Access",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::your-bucket-name/AWSLogs/*"
       }
     ]
   }
   

5. Aktifkan Pembuatan Versi di bucket S3 untuk memastikan bahwa log disimpan dengan beberapa versi.

6. Buka Properties > Bucket Versioning > Enable.

Opsional: Mengonfigurasi Lambda untuk ekspor real-time

1. Buka Konsol Lambda AWS.
2. Klik Create function.
3. Pilih Author from Scratch.
4. Tetapkan nama fungsi sebagai ExportIAMLogsToS3.
5. Pilih runtime Python 3.x.

6. Tetapkan Peran IAM ke fungsi yang memiliki izin untuk:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::your-bucket-name/*"
       }
     ]
   }
   

7. Gunakan kode Python berikut untuk mengambil log IAM dan menguploadnya ke S3:

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='your-s3-bucket-name',
           Key='iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   

• Ganti your-s3-bucket-name dengan nama bucket Anda yang sebenarnya.

Mengonfigurasi Pemicu Lambda untuk CloudWatch Logs

1. Di Lambda Console, buka Designer.
2. Pilih Tambahkan Pemicu > CloudWatch Logs.
3. Pilih grup log CloudWatch Logs yang terkait dengan log IAM Anda; misalnya, /aws/cloudtrail/.
4. Klik Tambahkan.

Mengonfigurasi feed di Google SecOps untuk memproses log IAM AWS

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan baru.
3. Di kolom Feed name, masukkan nama untuk feed; misalnya, AWS IAM Logs.
4. Pilih Amazon S3 sebagai Jenis sumber.
5. Pilih AWS IAM sebagai Jenis log.
6. Klik Berikutnya.

7. Tentukan nilai untuk parameter input berikut:

   • Region: region tempat bucket Amazon S3 berada.
   • URI S3: URI bucket.
     • s3://your-log-bucket-name/
       • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
   • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

   • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

   • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.

   • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

   • Namespace aset: namespace aset.

   • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

8. Klik Berikutnya.

9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.