Coletar registros do AWS Macie

Compatível com:

Este documento explica como ingerir registros do AWS Macie no Google Security Operations. O AWS Macie é um serviço de segurança que usa o aprendizado de máquina para descobrir, classificar e proteger dados sensíveis automaticamente. Com essa integração, é possível enviar registros do Macie para o Google SecOps e ter uma análise e um monitoramento aprimorados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Configurar o Amazon S3 e o IAM

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para uso posterior.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Opcional: configurar o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.
  2. Na barra de pesquisa, digite e selecione Macie na lista de serviços.
  3. Clique em Criar job.
  4. Crie um bucket ou continue com o atual.
  5. Adicione Programar job.
  6. Selecione todos os identificadores de dados gerenciados.
  7. Pule Selecionar identificadores de dados personalizados e clique em Próxima.
  8. Pule Selecionar lista de permissão e clique em Próxima.
  9. Forneça um nome e uma descrição significativos.
  10. Clique em Próxima.
  11. Revise e clique em Enviar.

Como configurar o CloudTrail para o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.

  2. Na barra de pesquisa, digite e selecione CloudTrail na lista de serviços.

  3. Se quiser continuar com um novo rastreamento, clique em Criar rastreamento.

  4. Forneça um Nome do rastreamento (por exemplo, Macie-Activity-Trail).

  5. Marque a caixa de seleção Ativar para todas as contas na minha organização.

  6. Digite o URI do bucket do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo bucket do S3.

  7. Se o SSE-KMS estiver ativado, forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.

  8. Você pode deixar as outras configurações como padrão.

  9. Clique em Próxima.

  10. Selecione Eventos de gerenciamento e Eventos de dados em Tipos de eventos.

  11. Clique em Próxima.

  12. Revise as configurações em Revisar e criar.

  13. Clique em Criar rastreamento.

  14. Opcional: se você criou um bucket, continue com o processo a seguir:

    1. Acesse S3.
    2. Identifique e selecione o bucket de registros recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e salve.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do AWS Macie).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione AWS Macie como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
    • URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.
  • URI do S3: o URI do bucket.
    • s3://your-log-bucket-name/
      • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
  • URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.
  • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

  • ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.

  • Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
accountId principal.group.product_object_id Mapeado diretamente do campo accountId.
category security_result.category_details Mapeado diretamente do campo category.
classificationDetails.jobArn security_result.rule_name Mapeado diretamente do campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mapeado diretamente do campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mapeado diretamente do campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mapeado diretamente do campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.category. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.totalCount. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
createdAt metadata.event_timestamp Analisado e convertido para o formato de carimbo de data/hora da UDM do campo createdAt.
description security_result.description Mapeado diretamente do campo description.
id metadata.product_log_id Mapeado diretamente do campo id. Fixado no código como SCAN_FILE no analisador. Extraído do campo log_type de nível superior no registro bruto. Fixado no código como AWS Macie no analisador. Mapeado diretamente do campo schemaVersion. Fixado no código como AMAZON no analisador. Concatenado de resourcesAffected.s3Bucket.name, region e a string ".s3.amazonaws.com".
region target.location.name Mapeado diretamente do campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mapeado diretamente do campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analisado e convertido para o formato de carimbo de data/hora da UDM do campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mapeado diretamente do campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mapeado diretamente do campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analisado e convertido para o formato de carimbo de data/hora da UDM do campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Com o prefixo "s3://" e mapeado do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mapeado diretamente do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mapeado diretamente do campo resourcesAffected.s3Object.size após a conversão para um número inteiro sem sinal.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mapeado diretamente do campo resourcesAffected.s3Object.storageClass. A chave é codificada como "storageClass". Fixado no código como DATA_AT_REST no analisador.
security_result.detection_fields.key category, totalCount Chaves codificadas para os campos de detecção.
severity.description security_result.severity Mapeado do campo severity.description. "Baixa" é mapeada para LOW, "Média" para MEDIUM e "Alta" para HIGH. Fixado no código como AMAZON_WEB_SERVICES no analisador. Fixado no código como STORAGE_OBJECT no analisador. Fixado no código como STORAGE_BUCKET no analisador.
title security_result.summary Mapeado diretamente do campo title.
type metadata.product_event_type Mapeado diretamente do campo type.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.