Collecter les journaux AWS Macie

Compatible avec :

Ce document explique comment ingérer des journaux AWS Macie dans Google Security Operations. AWS Macie est un service de sécurité qui utilise le machine learning pour découvrir, classer et protéger automatiquement les données sensibles. Cette intégration vous permettra d'envoyer des journaux Macie à Google SecOps pour une analyse et une surveillance améliorées.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Accès privilégié à AWS

Configurer Amazon S3 et IAM

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Facultatif : Configurer AWS Macie

  1. Connectez-vous à l'AWS Management Console.
  2. Dans la barre de recherche, saisissez Macie et sélectionnez-le dans la liste des services.
  3. Cliquez sur Créer une tâche.
  4. Créez un bucket ou utilisez-en un existant.
  5. Ajoutez Planifier un job.
  6. Sélectionnez tous les identifiants de données gérées.
  7. Ignorez l'étape Sélectionner des identifiants de données personnalisés et cliquez sur Suivant.
  8. Ignorez Sélectionner la liste d'autorisation, puis cliquez sur Suivant.
  9. Fournissez un nom et une description pertinents.
  10. Cliquez sur Suivant.
  11. Vérifiez les paramètres, puis cliquez sur Envoyer.

Configurer CloudTrail pour AWS Macie

  1. Connectez-vous à l'AWS Management Console.

  2. Dans la barre de recherche, saisissez CloudTrail et sélectionnez-le dans la liste des services.

  3. Si vous souhaitez créer un parcours, cliquez sur Créer un parcours.

  4. Indiquez un nom de trail (par exemple, Macie-Activity-Trail).

  5. Cochez la case Activer pour tous les comptes de mon organisation.

  6. Saisissez l'URI du bucket S3 créé précédemment (au format s3://your-log-bucket-name/) ou créez-en un.

  7. Si SSE-KMS est activé, indiquez un nom pour l'alias AWS KMS ou choisissez une clé AWS KMS existante.

  8. Vous pouvez conserver les autres paramètres par défaut.

  9. Cliquez sur Suivant.

  10. Sous Types d'événements, sélectionnez Événements de gestion et Événements de données.

  11. Cliquez sur Suivant.

  12. Vérifiez les paramètres dans Vérifier et créer.

  13. Cliquez sur Créer un parcours.

  14. Facultatif : Si vous avez créé un bucket, suivez la procédure suivante :

    1. Accédez à S3.
    2. Identifiez et sélectionnez le bucket de journaux que vous venez de créer.
    3. Sélectionnez le dossier AWSLogs.
    4. Cliquez sur Copier l'URI S3 et enregistrez-le.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux AWS Macie).
  5. Sélectionnez Amazon S3 comme Type de source.
  6. Sélectionnez AWS Macie comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • Région : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3 : URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel de votre bucket S3.
    • L'URI est : sélectionnez Répertoire ou Répertoire incluant les sous-répertoires, selon la structure de votre bucket.

    • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • ID de clé d'accès : clé d'accès de l'utilisateur disposant des autorisations de lecture du bucket S3.

    • Clé d'accès secrète : clé secrète de l'utilisateur avec les autorisations nécessaires pour lire le bucket S3.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Région : région dans laquelle se trouve le bucket Amazon S3.
  • URI S3 : URI du bucket.
    • s3://your-log-bucket-name/
      • Remplacez your-log-bucket-name par le nom réel de votre bucket S3.
  • L'URI est : sélectionnez Répertoire ou Répertoire incluant les sous-répertoires, selon la structure de votre bucket.
  • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

  • ID de clé d'accès : clé d'accès de l'utilisateur disposant des autorisations de lecture du bucket S3.

  • Clé d'accès secrète : clé secrète de l'utilisateur avec les autorisations nécessaires pour lire le bucket S3.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
accountId principal.group.product_object_id Mappé directement à partir du champ accountId.
category security_result.category_details Mappé directement à partir du champ category.
classificationDetails.jobArn security_result.rule_name Mappé directement à partir du champ classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mappé directement à partir du champ classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mappé directement à partir du champ classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mappé directement à partir du champ classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mappé directement à partir du champ classificationDetails.result.sensitiveData.category. L'analyseur itère sur le tableau sensitiveData et crée plusieurs objets detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mappé directement à partir du champ classificationDetails.result.sensitiveData.totalCount. L'analyseur itère sur le tableau sensitiveData et crée plusieurs objets detection_fields.
createdAt metadata.event_timestamp Analysé et converti au format de code temporel UDM à partir du champ createdAt.
description security_result.description Mappé directement à partir du champ description.
id metadata.product_log_id Mappé directement à partir du champ id. Codé en dur sur SCAN_FILE dans l'analyseur. Extrait du champ log_type de premier niveau dans le journal brut. Codé en dur sur AWS Macie dans l'analyseur. Mappé directement à partir du champ schemaVersion. Codé en dur sur AMAZON dans l'analyseur. Concaténation de resourcesAffected.s3Bucket.name, region et de la chaîne ".s3.amazonaws.com".
region target.location.name Mappé directement à partir du champ region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mappé directement à partir du champ resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analysé et converti au format de code temporel UDM à partir du champ resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mappé directement à partir du champ resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mappé directement à partir du champ resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mappé directement à partir du champ resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mappé directement à partir du champ resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mappé directement à partir du champ resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mappé directement à partir du champ resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analysé et converti au format de code temporel UDM à partir du champ resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Préfixé par "s3://" et mappé à partir du champ resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mappé directement à partir du champ resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mappé directement à partir du champ resourcesAffected.s3Object.size après conversion en entier non signé.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mappé directement à partir du champ resourcesAffected.s3Object.storageClass. La clé est codée en dur sur "storageClass". Codé en dur sur DATA_AT_REST dans l'analyseur.
security_result.detection_fields.key category, totalCount Clés codées en dur pour les champs de détection.
severity.description security_result.severity Mappé à partir du champ severity.description. "Low" correspond à LOW, "Medium" à MEDIUM et "High" à HIGH. Codé en dur sur AMAZON_WEB_SERVICES dans l'analyseur. Codé en dur sur STORAGE_OBJECT dans l'analyseur. Codé en dur sur STORAGE_BUCKET dans l'analyseur.
title security_result.summary Mappé directement à partir du champ title.
type metadata.product_event_type Mappé directement à partir du champ type.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.