Coletar registros do AWS Macie

Compatível com:

Este documento explica como ingerir registros do AWS Macie no Google Security Operations. O AWS Macie é um serviço de segurança que usa o aprendizado de máquina para descobrir, classificar e proteger dados sensíveis automaticamente. Com essa integração, é possível enviar registros do Macie para o Google SecOps e ter uma análise e um monitoramento aprimorados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Configurar o Amazon S3 e o IAM

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para uso posterior.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Opcional: configurar o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.
  2. Na barra de pesquisa, digite e selecione Macie na lista de serviços.
  3. Clique em Criar job.
  4. Crie um bucket ou continue com o atual.
  5. Adicione Programar job.
  6. Selecione todos os identificadores de dados gerenciados.
  7. Pule Selecionar identificadores de dados personalizados e clique em Próxima.
  8. Pule Selecionar lista de permissão e clique em Próxima.
  9. Forneça um nome e uma descrição significativos.
  10. Clique em Próxima.
  11. Revise e clique em Enviar.

Como configurar o CloudTrail para o AWS Macie

  1. Faça login no Console de Gerenciamento da AWS.

  2. Na barra de pesquisa, digite e selecione CloudTrail na lista de serviços.

  3. Se quiser continuar com um novo rastreamento, clique em Criar rastreamento.

  4. Forneça um Nome do rastreamento (por exemplo, Macie-Activity-Trail).

  5. Marque a caixa de seleção Ativar para todas as contas na minha organização.

  6. Digite o URI do bucket do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo bucket do S3.

  7. Se o SSE-KMS estiver ativado, forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.

  8. Você pode deixar as outras configurações como padrão.

  9. Clique em Próxima.

  10. Selecione Eventos de gerenciamento e Eventos de dados em Tipos de eventos.

  11. Clique em Próxima.

  12. Revise as configurações em Revisar e criar.

  13. Clique em Criar rastreamento.

  14. Opcional: se você criou um bucket, continue com o processo a seguir:

    1. Acesse S3.
    2. Identifique e selecione o bucket de registros recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e salve.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Macie

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro AWS Macie.

  3. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
accountId principal.group.product_object_id Mapeado diretamente do campo accountId.
category security_result.category_details Mapeado diretamente do campo category.
classificationDetails.jobArn security_result.rule_name Mapeado diretamente do campo classificationDetails.jobArn.
classificationDetails.jobId security_result.rule_id Mapeado diretamente do campo classificationDetails.jobId.
classificationDetails.originType security_result.rule_type Mapeado diretamente do campo classificationDetails.originType.
classificationDetails.result.mimeType target.file.mime_type Mapeado diretamente do campo classificationDetails.result.mimeType.
classificationDetails.result.sensitiveData.category security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.category. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value Mapeado diretamente do campo classificationDetails.result.sensitiveData.totalCount. O analisador itera pela matriz sensitiveData e cria vários objetos detection_fields.
createdAt metadata.event_timestamp Analisado e convertido para o formato de carimbo de data/hora da UDM do campo createdAt.
description security_result.description Mapeado diretamente do campo description.
id metadata.product_log_id Mapeado diretamente do campo id. Fixado no código como SCAN_FILE no analisador. Extraído do campo log_type de nível superior no registro bruto. Fixado no código como AWS Macie no analisador. Mapeado diretamente do campo schemaVersion. Fixado no código como AMAZON no analisador. Concatenado de resourcesAffected.s3Bucket.name, region e a string ".s3.amazonaws.com".
region target.location.name Mapeado diretamente do campo region.
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id Mapeado diretamente do campo resourcesAffected.s3Bucket.arn.
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time Analisado e convertido para o formato de carimbo de data/hora da UDM do campo resourcesAffected.s3Bucket.createdAt.
resourcesAffected.s3Bucket.name target.resource_ancestors.name Mapeado diretamente do campo resourcesAffected.s3Bucket.name.
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.displayName.
resourcesAffected.s3Bucket.owner.id target.user.userid Mapeado diretamente do campo resourcesAffected.s3Bucket.owner.id.
resourcesAffected.s3Object.eTag target.file.md5 Mapeado diretamente do campo resourcesAffected.s3Object.eTag.
resourcesAffected.s3Object.key target.file.names Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.key target.resource.name Mapeado diretamente do campo resourcesAffected.s3Object.key.
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time Analisado e convertido para o formato de carimbo de data/hora da UDM do campo resourcesAffected.s3Object.lastModified.
resourcesAffected.s3Object.path target.file.full_path Com o prefixo "s3://" e mapeado do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.path target.resource.product_object_id Mapeado diretamente do campo resourcesAffected.s3Object.path.
resourcesAffected.s3Object.size target.file.size Mapeado diretamente do campo resourcesAffected.s3Object.size após a conversão para um número inteiro sem sinal.
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value Mapeado diretamente do campo resourcesAffected.s3Object.storageClass. A chave é codificada como "storageClass". Fixado no código como DATA_AT_REST no analisador.
security_result.detection_fields.key category, totalCount Chaves codificadas para os campos de detecção.
severity.description security_result.severity Mapeado do campo severity.description. "Baixa" é mapeada para LOW, "Média" para MEDIUM e "Alta" para HIGH. Fixado no código como AMAZON_WEB_SERVICES no analisador. Fixado no código como STORAGE_OBJECT no analisador. Fixado no código como STORAGE_BUCKET no analisador.
title security_result.summary Mapeado diretamente do campo title.
type metadata.product_event_type Mapeado diretamente do campo type.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.