收集 AWS RDS 記錄

本文說明如何設定 Google SecOps 資訊動態，以收集 AWS RDS 記錄。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 AWS_RDS 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項：

• 可登入的 AWS 帳戶

• 全域管理員或 RDS 管理員

如何設定 AWS RDS

1. 使用現有資料庫或建立新資料庫：
   • 如要使用現有資料庫，請選取資料庫，按一下「修改」，然後選取「記錄匯出」。
   • 如要使用新資料庫，請在建立資料庫時選取「其他設定」。
2. 如要發布至 Amazon CloudWatch，請選取下列記錄類型：
   • 稽核記錄
   • 錯誤記錄
   • 一般記錄
   • 慢速查詢記錄
3. 如要為 AWS Aurora PostgreSQL 和 PostgreSQL 指定記錄檔匯出作業，請選取「PostgreSQL log」(PostgreSQL 記錄檔)。
4. 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業，請選取下列記錄檔類型：
   • 代理程式記錄
   • 錯誤記錄
5. 儲存記錄設定。
6. 選取「CloudWatch」>「Logs」，即可查看收集到的記錄。透過執行個體提供記錄後，系統會自動建立記錄群組。

如要將記錄發布至 CloudWatch，請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和區域，參閱下列 AWS 說明文件，找出連線端點：

• 如要瞭解任何記錄來源，請參閱「AWS Identity and Access Management 端點和配額」。

• 如要瞭解 CloudWatch 記錄來源，請參閱 CloudWatch 記錄端點和配額。

如需引擎專屬資訊，請參閱下列說明文件：

• 將 MariaDB 記錄發布至 Amazon CloudWatch Logs。

• 將 MySQL 記錄發布至 Amazon CloudWatch Logs。

• 將 Oracle 記錄發布至 Amazon CloudWatch Logs。

• 將 PostgreSQL 記錄檔發布至 Amazon CloudWatch Logs。

• 將 SQL Server 記錄發布至 Amazon CloudWatch Logs。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 「SIEM 設定」>「動態消息」
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」，設定動態消息

僅適用於 Google Security Operations Unified 客戶：
如要為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「設定多個動態饋給」。

所有客戶：
如要設定單一動態饋給，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。如果您使用 Google SecOps SIEM 獨立平台，請略過這個步驟。
4. 輸入資訊提供的專屬名稱。
5. 選取「Amazon S3」或「Amazon SQS」做為「來源類型」。
6. 選取「AWS RDS」做為「記錄類型」。
7. 點選「下一步」。
8. Google SecOps 支援使用存取金鑰 ID 和私密方法收集記錄檔。如要建立存取金鑰 ID 和密鑰，請參閱「使用 AWS 設定工具驗證」。
9. 根據您建立的 AWS RDS 設定，為輸入參數指定值：
   • 如果您使用 Amazon S3，請為下列必填欄位指定值：
     • 區域
     • S3 URI
     • URI 是
     • 來源刪除選項
   • 如果您使用 Amazon SQS，請為下列必填欄位指定值：
     • 區域
     • 佇列名稱
     • 帳戶號碼
     • 佇列存取金鑰 ID
     • 佇列存取密鑰
     • 來源刪除選項
10. 依序點按「繼續」和「提交」。

如要進一步瞭解 Google SecOps 動態消息，請參閱「使用動態消息管理 UI 建立及管理動態消息」。如要瞭解各動態饋給類型的規定，請參閱 Feed management API。

如果在建立動態饋給時遇到問題，請與 Google SecOps 支援團隊聯絡。

從內容中心設定動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3，在 Google SecOps 中設定擷取動態饋給。

為下列欄位指定值：

• 區域：S3 bucket 或 SQS 佇列的代管區域。
• 佇列名稱：要從中讀取記錄資料的 SQS 佇列名稱。
• 帳號：擁有 SQS 佇列的帳號。
• 佇列存取金鑰 ID：20 個字元的帳戶存取金鑰 ID。例如：AKIAOSFOODNN7EXAMPLE。
• 佇列存取密鑰：40 個字元的存取密鑰。例如：wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
• 來源刪除選項：在轉移資料後刪除檔案和目錄的選項。

進階選項

• 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
• 來源類型：將記錄收集到 Google SecOps 的方法。
• 資產命名空間：與動態饋給相關聯的命名空間。
• 擷取標籤：套用至這個動態饋給所有事件的標籤。

欄位對應參考資料

這個剖析器會從 AWS RDS 系統記錄訊息中擷取欄位，主要著重於時間戳記、說明和用戶端 IP。它會使用 grok 模式識別這些欄位，並填入對應的 UDM 欄位，根據用戶端 IP 的存在與否，將事件分類為 GENERIC_EVENT 或 STATUS_UPDATE。

UDM 對應表

記錄欄位	UDM 對應	邏輯
client_ip	principal.ip	使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。
create_time.nanos	不適用	未對應至 IDM 物件。
create_time.seconds	不適用	未對應至 IDM 物件。
	metadata.description	使用 grok 模式從記錄中擷取的說明訊息。從「create_time.nanos」複製的項目。從「create_time.seconds」複製的項目。預設值為「GENERIC_EVENT」。如果存在 client_ip，則變更為「STATUS_UPDATE」。剖析器設定的靜態值「AWS_RDS」。剖析器設定的靜態值「AWS_RDS」。
pid	principal.process.pid	使用規則運算式 process ID of %{INT:pid} 從 descrip 欄位擷取。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。