AWS RDS-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie AWS RDS-Logs erfassen können, indem Sie einen Google SecOps-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label AWS_RDS.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Ein AWS-Konto, in dem Sie sich anmelden können

• Ein globaler Administrator oder RDS-Administrator

AWS RDS konfigurieren

1. Verwenden Sie eine vorhandene Datenbank oder erstellen Sie eine neue Datenbank:
   • Wenn Sie eine vorhandene Datenbank verwenden möchten, wählen Sie sie aus, klicken Sie auf Ändern und dann auf Log-Exporte.
   • Wenn Sie eine neue Datenbank verwenden möchten, wählen Sie beim Erstellen der Datenbank Zusätzliche Konfiguration aus.
2. Wenn Sie in Amazon CloudWatch veröffentlichen möchten, wählen Sie die folgenden Protokolltypen aus:
   • Audit-Log
   • Fehlerprotokoll
   • Allgemeines Log
   • Log für langsame Abfragen
3. Wenn Sie den Logexport für AWS Aurora PostgreSQL und PostgreSQL angeben möchten, wählen Sie PostgreSQL-Log aus.
4. Wenn Sie den Logexport für AWS Microsoft SQL Server angeben möchten, wählen Sie die folgenden Logtypen aus:
   • Agent-Log
   • Fehlerprotokoll
5. Speichern Sie die Logkonfiguration.
6. Wählen Sie CloudWatch > Logs aus, um die erfassten Logs anzusehen. Die Loggruppen werden automatisch erstellt, nachdem die Logs über die Instanz verfügbar sind.

Konfigurieren Sie IAM-Nutzer- und KMS-Schlüsselrichtlinien, um die Logs in CloudWatch zu veröffentlichen. Weitere Informationen finden Sie unter IAM-Nutzer- und KMS-Schlüsselrichtlinien.

Ermitteln Sie anhand des Dienstes und der Region die Endpunkte für die Verbindung. Verwenden Sie dazu die folgende AWS-Dokumentation:

• Informationen zu Protokollierungsquellen finden Sie unter AWS Identity and Access Management-Endpunkte und ‑Kontingente.

• Informationen zu CloudWatch-Logging-Quellen finden Sie unter CloudWatch Logs-Endpunkte und -Kontingente.

Weitere Informationen zu den einzelnen Engines finden Sie in der folgenden Dokumentation:

• MariaDB-Logs in Amazon CloudWatch Logs veröffentlichen

• MySQL-Logs in Amazon CloudWatch Logs veröffentlichen

• Oracle-Logs in Amazon CloudWatch Logs veröffentlichen

• PostgreSQL-Logs in Amazon CloudWatch Logs veröffentlichen

• SQL Server-Logs in Amazon CloudWatch Logs veröffentlichen

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds
• Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Nur für Unified-Kunden von Google Security Operations:
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Mehrere Feeds konfigurieren.

Für alle Kunden:
So konfigurieren Sie einen einzelnen Feed:

1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren. Überspringen Sie diesen Schritt, wenn Sie die eigenständige Google SecOps SIEM-Plattform verwenden.
4. Geben Sie einen eindeutigen Namen für den Feednamen ein.
5. Wählen Sie Amazon S3 oder Amazon SQS als Quelltyp aus.
6. Wählen Sie AWS RDS als Logtyp aus.
7. Klicken Sie auf Weiter.
8. Google SecOps unterstützt die Erfassung von Logs mithilfe einer Zugriffsschlüssel-ID und einer geheimen Methode. Informationen zum Erstellen der Zugriffsschlüssel-ID und des Secrets finden Sie unter Tool-Authentifizierung mit AWS konfigurieren.
9. Geben Sie auf Grundlage der von Ihnen erstellten AWS RDS-Konfiguration Werte für die Eingabeparameter an:
   • Wenn Sie Amazon S3 verwenden, geben Sie Werte für die folgenden Pflichtfelder an:
     • Region
     • S3-URI
     • URI ist ein
     • Option zum Löschen der Quelle
   • Wenn Sie Amazon SQS verwenden, geben Sie Werte für die folgenden Pflichtfelder an:
     • Region
     • Name der Warteschlange
     • Kontonummer
     • Warteschlangen-Zugriffsschlüssel-ID
     • Geheimer Zugriffsschlüssel für die Warteschlange
     • Option zum Löschen der Quelle
10. Klicken Sie auf Weiter und klicken Sie dann auf Senden.

Weitere Informationen zu Google SecOps-Feeds finden Sie unter Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feed Management API.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Feeds über den Content Hub einrichten

Sie können den Erfassungsfeed in Google SecOps entweder mit Amazon SQS (bevorzugt) oder Amazon S3 konfigurieren.

Geben Sie Werte für die folgenden Felder an:

• Region: Region, in der der S3-Bucket oder die SQS-Warteschlange gehostet wird.
• Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
• Kontonummer: Kontonummer, zu der die SQS-Warteschlange gehört.
• Warteschlangen-Zugriffsschlüssel-ID: 20-stellige Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
• Queue Secret Access Key (geheimer Zugriffsschlüssel für die Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
• Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.

Erweiterte Optionen

• Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
• Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
• Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
• Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Felder aus AWS RDS-Syslog-Nachrichten, wobei der Schwerpunkt auf Zeitstempel, Beschreibung und Client-IP liegt. Dazu werden Grok-Muster verwendet, um diese Felder zu identifizieren und entsprechende UDM-Felder zu füllen. Ereignisse werden je nach Vorhandensein einer Client-IP als GENERIC_EVENT oder STATUS_UPDATE klassifiziert.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
client_ip	principal.ip	Wird aus der Roh-Log-Nachricht mit dem regulären Ausdruck \\[CLIENT: %{IP:client_ip}\\] extrahiert.
create_time.nanos	–	Nicht dem IDM-Objekt zugeordnet.
create_time.seconds	–	Nicht dem IDM-Objekt zugeordnet.
	metadata.description	Die beschreibende Meldung aus dem Log, die mit Grok-Mustern extrahiert wurde. Kopiert von create_time.nanos. Kopiert von create_time.seconds. Standardmäßig auf „GENERIC_EVENT“ festgelegt. In „STATUS_UPDATE“ geändert, wenn client_ip vorhanden ist. Statischer Wert „AWS_RDS“, der vom Parser festgelegt wird. Statischer Wert „AWS_RDS“, der vom Parser festgelegt wird.
pid	principal.process.pid	Aus dem Feld descrip extrahiert, indem der reguläre Ausdruck process ID of %{INT:pid} verwendet wurde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten