Mengumpulkan log AWS Macie

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Macie ke Google Security Operations. AWS Macie adalah layanan keamanan yang menggunakan machine learning untuk otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif. Integrasi ini akan memungkinkan Anda mengirim log Macie ke Google SecOps untuk analisis dan pemantauan yang lebih baik.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengonfigurasi Amazon S3 dan IAM

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Opsional: Mengonfigurasi AWS Macie

  1. Login ke AWS Management Console.
  2. Di kotak penelusuran, ketik dan pilih Macie dari daftar layanan.
  3. Klik Buat tugas.
  4. Buat bucket baru atau lanjutkan dengan bucket yang ada.
  5. Tambahkan Schedule job.
  6. Pilih semua Managed Data Identifiers.
  7. Lewati Pilih ID Data Kustom, lalu klik Berikutnya.
  8. Lewati Pilih daftar yang diizinkan, lalu klik Berikutnya.
  9. Berikan nama dan deskripsi yang bermakna.
  10. Klik Berikutnya.
  11. Tinjau, lalu klik Kirim.

Cara mengonfigurasi CloudTrail untuk AWS Macie

  1. Login ke AWS Management Console.

  2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.

  3. Jika Anda ingin melanjutkan dengan uji coba baru, klik Buat uji coba.

  4. Berikan Trail name (misalnya, Macie-Activity-Trail).

  5. Centang kotak Aktifkan untuk semua akun di organisasi saya.

  6. Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus: s3://your-log-bucket-name/), atau buat bucket S3 baru.

  7. Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.

  8. Anda dapat membiarkan setelan lainnya sebagai default.

  9. Klik Berikutnya.

  10. Pilih Peristiwa pengelolaan dan Peristiwa data di bagian Jenis Peristiwa.

  11. Klik Berikutnya.

  12. Tinjau setelan di Tinjau dan buat.

  13. Klik Buat jalur.

  14. Opsional: jika Anda membuat bucket baru, lanjutkan dengan proses berikut:

    1. Buka S3.
    2. Identifikasi dan pilih bucket log yang baru dibuat.
    3. Pilih folder AWSLogs.
    4. Klik Copy S3 URI dan simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS Macie

  1. Klik paket Amazon Cloud Platform.
  2. Temukan jenis log AWS Macie.

  3. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
accountId principal.group.product_object_id Dipetakan langsung dari kolom accountId.
category security_result.category_details Dipetakan langsung dari kolom category.
classificationDetails.jobArn security_result.rule_name Dipetakan langsung dari kolom classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Dipetakan langsung dari kolom classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Dipetakan langsung dari kolom classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Dipetakan langsung dari kolom classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Dipetakan langsung dari kolom classificationDetails.result.sensitiveData.category. Parser melakukan iterasi melalui array sensitiveData dan membuat beberapa objek detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Dipetakan langsung dari kolom classificationDetails.result.sensitiveData.totalCount. Parser melakukan iterasi melalui array sensitiveData dan membuat beberapa objek detection_fields.
createdAt metadata.event_timestamp Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom createdAt.
description security_result.description Dipetakan langsung dari kolom description.
id metadata.product_log_id Dipetakan langsung dari kolom id. Di-hardcode ke SCAN_FILE di parser. Diambil dari kolom log_type tingkat teratas dalam log mentah. Di-hardcode ke AWS Macie di parser. Dipetakan langsung dari kolom schemaVersion. Di-hardcode ke AMAZON di parser. Digabungkan dari resourcesAffected.s3Bucket.name, region, dan string ".s3.amazonaws.com".
region target.location.name Dipetakan langsung dari kolom region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Dipetakan langsung dari kolom resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Dipetakan langsung dari kolom resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Dipetakan langsung dari kolom resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Dipetakan langsung dari kolom resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Dipetakan langsung dari kolom resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Dipetakan langsung dari kolom resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Dipetakan langsung dari kolom resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Diberi awalan "s3://" dan dipetakan dari kolom resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Dipetakan langsung dari kolom resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Dipetakan langsung dari kolom resourcesAffected.s3Object.size setelah dikonversi ke bilangan bulat tidak bertanda.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Dipetakan langsung dari kolom resourcesAffected.s3Object.storageClass. Kunci di-hardcode ke "storageClass". Di-hardcode ke DATA_AT_REST di parser.
security_result.detection_fields.key category, totalCount Kunci yang di-hardcode untuk kolom deteksi.
severity.description security_result.severity Dipetakan dari kolom severity.description. "Rendah" dipetakan ke LOW, "Sedang" ke MEDIUM, dan "Tinggi" ke HIGH. Di-hardcode ke AMAZON_WEB_SERVICES di parser. Di-hardcode ke STORAGE_OBJECT di parser. Di-hardcode ke STORAGE_BUCKET di parser.
title security_result.summary Dipetakan langsung dari kolom title.
type metadata.product_event_type Dipetakan langsung dari kolom type.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.