Recolha registos do AWS Key Management Service

Compatível com:

Este documento explica como ingerir registos do AWS Key Management Service (KMS) no Google Security Operations. O AWS KMS é um serviço totalmente gerido que lhe permite criar e controlar as chaves de encriptação usadas para encriptar os seus dados. Esta integração ajuda a monitorizar e auditar a utilização de chaves de encriptação.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Configure o Amazon S3 e o IAM

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o Nome e a Região do contentor para utilização posterior.
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Como configurar o CloudTrail para o AWS KMS

  1. Inicie sessão na AWS Management Console.
  2. Na barra de pesquisa, escreva e selecione CloudTrail na lista de serviços.
  3. Clique em Criar trilho.
  4. Indique um nome da trilha (por exemplo, KMS-Activity-Trail).
  5. Selecione a caixa de verificação Ativar para todas as contas na minha organização.
  6. Escreva o URI do contentor do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo contentor do S3.
  7. Se a SSE-KMS estiver ativada, indique um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS existente.
  8. Pode deixar as outras definições como predefinições.
  9. Clicar em Seguinte.
  10. Selecione Eventos de gestão e Eventos de dados em Tipos de eventos.
  11. Clicar em Seguinte.
  12. Reveja as definições em Rever e criar.
  13. Clique em Criar trilho.
  14. Opcional: se criou um novo contentor, continue com o processo seguinte:
    1. Aceda ao S3.
    2. Identifique e selecione o contentor de registos recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e guarde-o.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Key Management Service

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registo AWS Key Management Service.

  3. Especifique os valores nos seguintes campos.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila SQS a partir da qual ler
    • URI do S3: o URI do contentor.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

    • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
data.detail.awsRegion principal.location.country_or_region Mapeado diretamente a partir do campo data.detail.awsRegion no registo não processado.
data.detail.eventCategory security_result.category_details Mapeado diretamente a partir do campo data.detail.eventCategory no registo não processado.
data.detail.eventName metadata.product_event_type Mapeado diretamente a partir do campo data.detail.eventName no registo não processado. Este campo determina o valor de metadata.event_type com base na lógica: se eventName for "Decrypt" ou "Encrypt", então event_type é "USER_RESOURCE_ACCESS"; se eventName for "GenerateDataKey", então event_type é "USER_RESOURCE_CREATION"; caso contrário, event_type é "GENERIC_EVENT".
data.detail.requestID additional.fields.key O valor está codificado como "requestID" no código do analisador.
data.detail.requestID additional.fields.value.string_value Mapeado diretamente a partir do campo data.detail.requestID no registo não processado.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key O valor está codificado como "encryptionAlgorithm" no código do analisador.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Mapeado diretamente a partir do campo data.detail.requestParameters.encryptionAlgorithm no registo não processado.
data.detail.resources.ARN target.resource.id Mapeado diretamente a partir do campo data.detail.resources.ARN no registo não processado.
data.detail.resources.type target.resource.resource_subtype Mapeado diretamente a partir do campo data.detail.resources.type no registo não processado.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key O valor está codificado como "mfaAuthenticated" no código do analisador.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Mapeado diretamente a partir do campo data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated no registo não processado.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Mapeado diretamente a partir do campo data.detail.userIdentity.sessionContext.sessionIssuer.principalId no registo não processado.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Mapeado diretamente a partir do campo data.detail.userIdentity.sessionContext.sessionIssuer.userName no registo não processado.
data.detail.userIdentity.type principal.user.attribute.roles.name Mapeado diretamente a partir do campo data.detail.userIdentity.type no registo não processado.
data.id metadata.product_log_id Mapeado diretamente a partir do campo data.id no registo não processado.
data.time metadata.event_timestamp.seconds O valor em segundos da data/hora analisada a partir do campo data.time no registo não processado.
N/A metadata.event_type Este campo é derivado pela lógica do analisador com base no valor de data.detail.eventName: se eventName for "Decrypt" ou "Encrypt", event_type é "USER_RESOURCE_ACCESS"; se eventName for "GenerateDataKey", event_type é "USER_RESOURCE_CREATION"; caso contrário, event_type é "GENERIC_EVENT".
N/A metadata.log_type O valor está codificado como "AWS_KMS" no código do analisador.
N/A metadata.product_name O valor está codificado como "AWS Key Management Service" no código do analisador.
N/A metadata.vendor_name O valor está codificado como "AMAZON" no código do analisador.
N/A principal.asset.attribute.cloud.environment O valor está codificado como "AMAZON_WEB_SERVICES" no código do analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.