Raccogliere i log AWS IAM

Questo documento spiega come importare i log AWS IAM in Google Security Operations. Il parser trasforma i log non elaborati in formato JSON in un modello UDM (Unified Data Model) strutturato. Estrae i campi pertinenti, come i dettagli dell'utente, le informazioni sul ruolo, le autorizzazioni e i timestamp, mappandoli ai campi UDM corrispondenti per un'analisi della sicurezza coerente.

Prima di iniziare

• Assicurati di avere un'istanza Google SecOps.
• Assicurati di disporre dell'accesso con privilegi ad AWS.

Configura AWS IAM e S3

1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket.
2. Salva il Nome e la Regione del bucket per utilizzarli in un secondo momento.
3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
4. Seleziona l'utente creato.
5. Seleziona la scheda Credenziali di sicurezza.
6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
7. Seleziona Servizio di terze parti come Caso d'uso.
8. Fai clic su Avanti.
9. (Facoltativo) Aggiungi un tag di descrizione.
10. Fai clic su Crea chiave di accesso.
11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
12. Fai clic su Fine.
13. Seleziona la scheda Autorizzazioni.
14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
15. Seleziona Aggiungi autorizzazioni.
16. Seleziona Collega direttamente i criteri.
17. Cerca e seleziona il criterio AmazonS3FullAccess.
18. Fai clic su Avanti.
19. Fai clic su Aggiungi autorizzazioni.

Configura CloudTrail per acquisire i log IAM

1. Accedi alla console di gestione AWS.
2. Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.
3. Fai clic su Crea percorso.
4. Fornisci un nome della traccia, ad esempio IAMActivityTrail.
   • Applica la traccia a tutte le regioni: seleziona Sì per acquisire le attività in tutte le regioni.
   • Posizione di archiviazione: seleziona il bucket S3 creato in precedenza o creane uno nuovo.
   • Bucket S3: inserisci un nome per il bucket S3, ad esempio iam-logs-bucket.
   • Seleziona Crea un nuovo ruolo IAM (se non è stato creato in precedenza).
   • Eventi di gestione: seleziona Lettura e Scrittura per acquisire gli eventi di lettura e scrittura sulle risorse IAM.
   • Eventi di dati: attiva gli eventi di dati S3 e Lambda.
5. Fai clic su Crea per creare la traccia.

Configura CloudTrail per esportare i log in S3

1. Vai a Services > S3.
2. Seleziona il bucket S3 in cui sono archiviati i log di CloudTrail, ad esempio iam-logs-bucket.
3. Assicurati che CloudTrail disponga delle autorizzazioni corrette per scrivere i log nel bucket.

4. Aggiungi il seguente criterio se non è già presente:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailS3Access",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::your-bucket-name/AWSLogs/*"
       }
     ]
   }
   

5. Abilita il controllo delle versioni sul bucket S3 per assicurarti che i log vengano archiviati con più versioni.

6. Vai a Proprietà > Controllo delle versioni del bucket > Attiva.

(Facoltativo) Configura Lambda per l'esportazione in tempo reale

1. Vai alla console Lambda di AWS.
2. Fai clic su Crea funzione.
3. Seleziona Autore da zero.
4. Imposta il nome della funzione su ExportIAMLogsToS3.
5. Seleziona un runtime Python 3.x.

6. Assegna alla funzione un ruolo IAM con le autorizzazioni per:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::your-bucket-name/*"
       }
     ]
   }
   

7. Utilizza il seguente codice Python per recuperare i log IAM e caricarli su S3:

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='your-s3-bucket-name',
           Key='iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   

• Sostituisci your-s3-bucket-name con il nome del bucket effettivo.

Configura il trigger Lambda per CloudWatch Logs

1. Nella console Lambda, vai a Designer.
2. Scegli Aggiungi trigger > CloudWatch Logs.
3. Seleziona il gruppo di log CloudWatch Logs associato ai tuoi log IAM, ad esempio /aws/cloudtrail/.
4. Fai clic su Aggiungi.

Configura un feed in Google SecOps per importare i log AWS IAM

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo.
3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio AWS IAM Logs.
4. Seleziona Amazon S3 come Tipo di origine.
5. Seleziona AWS IAM come Tipo di log.
6. Fai clic su Avanti.

7. Specifica i valori per i seguenti parametri di input:

   • Region (Regione): la regione in cui si trova il bucket Amazon S3.
   • URI S3: l'URI del bucket.
     • s3://your-log-bucket-name/
       • Sostituisci your-log-bucket-name con il nome effettivo del bucket.
   • L'URI è una: seleziona Directory o Directory che include sottodirectory.

   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

   • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

   • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

8. Fai clic su Avanti.

9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.