Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AWS Macie

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log AWS Macie ke Google Security Operations. AWS Macie adalah layanan keamanan yang menggunakan machine learning untuk otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif. Integrasi ini akan memungkinkan Anda mengirim log Macie ke Google SecOps untuk analisis dan pemantauan yang lebih baik.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke AWS

Mengonfigurasi Amazon S3 dan IAM

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Nama dan Region bucket untuk digunakan nanti.
Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
Klik Selesai.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Telusuri dan pilih kebijakan AmazonS3FullAccess.
Klik Berikutnya.
Klik Tambahkan izin.

Opsional: Mengonfigurasi AWS Macie

Login ke AWS Management Console.
Di kotak penelusuran, ketik dan pilih Macie dari daftar layanan.
Klik Buat tugas.
Buat bucket baru atau lanjutkan dengan bucket yang ada.
Tambahkan Tugas terjadwal.
Pilih semua Managed Data Identifiers.
Lewati Pilih ID Data Kustom, lalu klik Berikutnya.
Lewati Pilih daftar yang diizinkan, lalu klik Berikutnya.
Berikan nama dan deskripsi yang bermakna.
Klik Berikutnya.
Tinjau, lalu klik Kirim.

Cara mengonfigurasi CloudTrail untuk AWS Macie

Login ke AWS Management Console.
Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.

Catatan: Jika sudah memiliki jejak, Anda dapat mengubah dan menggunakannya.
Jika Anda ingin melanjutkan dengan uji coba baru, klik Buat uji coba.
Berikan Trail name (misalnya, Macie-Activity-Trail).
Centang kotak Aktifkan untuk semua akun di organisasi saya.
Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus: s3://your-log-bucket-name/), atau buat bucket S3 baru.
Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Anda dapat membiarkan setelan lainnya sebagai default.
Klik Berikutnya.
Pilih Peristiwa pengelolaan dan Peristiwa data di bagian Jenis Peristiwa.
Klik Berikutnya.
Tinjau setelan di Tinjau dan buat.
Klik Buat jalur.
Opsional: jika Anda membuat bucket baru, lanjutkan dengan proses berikut:
1. Buka S3.
2. Identifikasi dan pilih bucket log yang baru dibuat.
3. Pilih folder AWSLogs.
4. Klik Copy S3 URI dan simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Macie Logs).
Pilih Amazon S3 sebagai Jenis sumber.
Pilih AWS Macie sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
  - s3://your-log-bucket-name/
    - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
- URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Region: Region tempat bucket Amazon S3 berada.
URI S3: URI bucket.
- s3://your-log-bucket-name/
  - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

Opsi Lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.

Kolom Log	Pemetaan UDM	Logika
`accountId`	`principal.group.product_object_id`	Dipetakan langsung dari kolom `accountId`.
`category`	`security_result.category_details`	Dipetakan langsung dari kolom `category`.
`classificationDetails.jobArn`	`security_result.rule_name`	Dipetakan langsung dari kolom `classificationDetails.jobArn`.
`classificationDetails.jobId`	`security_result.rule_id`	Dipetakan langsung dari kolom `classificationDetails.jobId`.
`classificationDetails.originType`	`security_result.rule_type`	Dipetakan langsung dari kolom `classificationDetails.originType`.
`classificationDetails.result.mimeType`	`target.file.mime_type`	Dipetakan langsung dari kolom `classificationDetails.result.mimeType`.
`classificationDetails.result.sensitiveData.category`	`security_result.detection_fields.value`	Dipetakan langsung dari kolom `classificationDetails.result.sensitiveData.category`. Parser melakukan iterasi melalui array `sensitiveData` dan membuat beberapa objek `detection_fields`.
`classificationDetails.result.sensitiveData.totalCount`	`security_result.detection_fields.value`	Dipetakan langsung dari kolom `classificationDetails.result.sensitiveData.totalCount`. Parser melakukan iterasi melalui array `sensitiveData` dan membuat beberapa objek `detection_fields`.
`createdAt`	`metadata.event_timestamp`	Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom `createdAt`.
`description`	`security_result.description`	Dipetakan langsung dari kolom `description`.
`id`	`metadata.product_log_id`	Dipetakan langsung dari kolom `id`. Di-hardcode ke `SCAN_FILE` di parser. Diambil dari kolom `log_type` tingkat teratas dalam log mentah. Di-hardcode ke `AWS Macie` di parser. Dipetakan langsung dari kolom `schemaVersion`. Di-hardcode ke `AMAZON` di parser. Digabungkan dari `resourcesAffected.s3Bucket.name`, `region`, dan string ".s3.amazonaws.com".
`region`	`target.location.name`	Dipetakan langsung dari kolom `region`.
`resourcesAffected.s3Bucket.arn`	`target.resource_ancestors.product_object_id`	Dipetakan langsung dari kolom `resourcesAffected.s3Bucket.arn`.
`resourcesAffected.s3Bucket.createdAt`	`target.resource_ancestors.attribute.creation_time`	Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom `resourcesAffected.s3Bucket.createdAt`.
`resourcesAffected.s3Bucket.name`	`target.resource_ancestors.name`	Dipetakan langsung dari kolom `resourcesAffected.s3Bucket.name`.
`resourcesAffected.s3Bucket.owner.displayName`	`target.user.user_display_name`	Dipetakan langsung dari kolom `resourcesAffected.s3Bucket.owner.displayName`.
`resourcesAffected.s3Bucket.owner.id`	`target.user.userid`	Dipetakan langsung dari kolom `resourcesAffected.s3Bucket.owner.id`.
`resourcesAffected.s3Object.eTag`	`target.file.md5`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.eTag`.
`resourcesAffected.s3Object.key`	`target.file.names`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.key`.
`resourcesAffected.s3Object.key`	`target.resource.name`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.key`.
`resourcesAffected.s3Object.lastModified`	`target.resource.attribute.last_update_time`	Diuraikan dan dikonversi ke format stempel waktu UDM dari kolom `resourcesAffected.s3Object.lastModified`.
`resourcesAffected.s3Object.path`	`target.file.full_path`	Diberi awalan "s3://" dan dipetakan dari kolom `resourcesAffected.s3Object.path`.
`resourcesAffected.s3Object.path`	`target.resource.product_object_id`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.path`.
`resourcesAffected.s3Object.size`	`target.file.size`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.size` setelah dikonversi ke bilangan bulat tidak bertanda.
`resourcesAffected.s3Object.storageClass`	`target.resource.attribute.labels.value`	Dipetakan langsung dari kolom `resourcesAffected.s3Object.storageClass`. Kunci di-hardcode ke "storageClass". Di-hardcode ke `DATA_AT_REST` di parser.
`security_result.detection_fields.key`	`category`, `totalCount`	Kunci yang di-hardcode untuk kolom deteksi.
`severity.description`	`security_result.severity`	Dipetakan dari kolom `severity.description`. "Rendah" dipetakan ke `LOW`, "Sedang" ke `MEDIUM`, dan "Tinggi" ke `HIGH`. Di-hardcode ke `AMAZON_WEB_SERVICES` di parser. Di-hardcode ke `STORAGE_OBJECT` di parser. Di-hardcode ke `STORAGE_BUCKET` di parser.
`title`	`security_result.summary`	Dipetakan langsung dari kolom `title`.
`type`	`metadata.product_event_type`	Dipetakan langsung dari kolom `type`.