Recopila registros de AWS RDS

En este documento, se describe cómo puedes recopilar registros de RDS de AWS configurando un feed de SecOps de Google.

Para obtener más información, consulta Ingesta de datos en Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia AWS_RDS.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una cuenta de AWS a la que puedas acceder

• Un administrador global o un administrador de RDS

Cómo configurar AWS RDS

1. Usa una base de datos existente o crea una nueva:
   • Para usar una base de datos existente, selecciónala, haz clic en Modificar y, luego, selecciona Exportaciones de registros.
   • Para usar una base de datos nueva, cuando la crees, selecciona Configuración adicional.
2. Para publicar en Amazon CloudWatch, selecciona los siguientes tipos de registros:
   • Registro de auditoría
   • Registro de errores
   • Registro general
   • Registro de consultas lentas
3. Para especificar la exportación de registros para AWS Aurora PostgreSQL y PostgreSQL, selecciona Registro de PostgreSQL.
4. Para especificar la exportación de registros para AWS Microsoft SQL Server, selecciona los siguientes tipos de registros:
   • Registro del agente
   • Registro de errores
5. Guarda la configuración del registro.
6. Selecciona CloudWatch > Logs para ver los registros recopilados. Los grupos de registros se crean automáticamente después de que los registros están disponibles a través de la instancia.

Para publicar los registros en CloudWatch, configura las políticas de usuario de IAM y de claves de KMS. Para obtener más información, consulta Políticas de usuarios de IAM y claves de KMS.

Según el servicio y la región, identifica los extremos para la conectividad consultando la siguiente documentación de AWS:

• Para obtener información sobre las fuentes de registro, consulta Cuotas y extremos de AWS Identity and Access Management.

• Para obtener información sobre las fuentes de registro de CloudWatch, consulta Cuotas y extremos de los registros de CloudWatch.

Para obtener información específica del motor, consulta la siguiente documentación:

• Publica registros de MariaDB en Amazon CloudWatch Logs.

• Publica registros de MySQL en Amazon CloudWatch Logs.

• Publica registros de Oracle en Amazon CloudWatch Logs.

• Publica registros de PostgreSQL en Amazon CloudWatch Logs.

• Publica registros de SQL Server en Amazon CloudWatch Logs.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds
• Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Solo para clientes unificados de Google Security Operations:
Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar varios feeds.

Para todos los clientes:
Para configurar un solo feed, sigue estos pasos:

1. Ve a SIEM Settings > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed. Omite este paso si usas la plataforma independiente de SIEM de Google SecOps.
4. Ingresa un nombre único para el Nombre del feed.
5. Selecciona Amazon S3 o Amazon SQS como el Tipo de fuente.
6. Selecciona AWS RDS como el Tipo de registro.
7. Haz clic en Siguiente.
8. Google SecOps admite la recopilación de registros con un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Configura la autenticación de la herramienta con AWS.
9. Según la configuración de AWS RDS que creaste, especifica valores para los parámetros de entrada:
   • Si usas Amazon S3, especifica valores para los siguientes campos obligatorios:
     • Región
     • URI de S3
     • El URI es un
     • Opción de eliminación de la fuente
   • Si usas Amazon SQS, especifica valores para los siguientes campos obligatorios:
     • Región
     • Nombre de la fila
     • Número de cuenta
     • ID de clave de acceso a la cola
     • Clave de acceso secreta de la fila
     • Opción de eliminación de la fuente
10. Haz clic en Siguiente y, luego, haz clic en Enviar.

Para obtener más información sobre los feeds de Google SecOps, consulta Crea y administra feeds con la IU de administración de feeds. Para obtener información sobre los requisitos de cada tipo de feed, consulta la API de Feed Management.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de SecOps de Google.

Configura feeds desde el Centro de contenido

Puedes configurar el feed de transferencia en Google SecOps con Amazon SQS (opción preferida) o Amazon S3.

Especifica valores para los siguientes campos:

• Región: Es la región en la que se aloja el bucket de S3 o la cola de SQS.
• Nombre de la cola: Nombre de la cola de SQS desde la que se leerán los datos de registro.
• Número de cuenta: Es el número de cuenta que posee la cola de SQS.
• ID de clave de acceso a la cola: ID de clave de acceso a la cuenta de 20 caracteres. Por ejemplo, AKIAOSFOODNN7EXAMPLE
• Clave de acceso secreta de la fila: Clave de acceso secreta de 40 caracteres. Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
• Opción de eliminación de la fuente: Opción para borrar archivos y directorios después de transferir los datos.

Opciones avanzadas

• Nombre del feed: Es un valor completado previamente que identifica el feed.
• Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
• Espacio de nombres del recurso: Espacio de nombres asociado al feed.
• Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Referencia de la asignación de campos

Este analizador extrae campos de los mensajes de syslog de AWS RDS, principalmente el timestamp, la descripción y la IP del cliente. Utiliza patrones de Grok para identificar estos campos y completar los campos de UDM correspondientes, clasificando los eventos como GENERIC_EVENT o STATUS_UPDATE según la presencia de una IP del cliente.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
client_ip	principal.ip	Se extrae del mensaje de registro sin procesar con la expresión regular \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos	N/A	No se asignó al objeto IDM.
create_time.seconds	N/A	No se asignó al objeto IDM.
	metadata.description	Es el mensaje descriptivo del registro, extraído con patrones de Grok. Se copió desde create_time.nanos. Se copió desde create_time.seconds. El valor predeterminado es "GENERIC_EVENT". Se cambió a "STATUS_UPDATE" si client_ip está presente. Valor estático "AWS_RDS", establecido por el analizador. Valor estático "AWS_RDS", establecido por el analizador.
pid	principal.process.pid	Se extrae del campo descrip con la expresión regular process ID of %{INT:pid}.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.