Mengumpulkan log akses server AWS S3

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log akses server AWS S3 dengan menyiapkan feed Google Security Operations. Parser mengekstrak kolom menggunakan pola grok, menangani potensi input JSON, dan memetakan kolom yang diekstrak ke UDM. Proses ini melakukan transformasi data, konversi jenis, dan logika bersyarat berdasarkan keberadaan dan nilai kolom tertentu untuk memastikan representasi UDM yang akurat.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Cara mengonfigurasi logging akses server AWS S3

Google SecOps mendukung pengumpulan log menggunakan Amazon S3 melalui Amazon SQS.

  1. Login ke konsol AWS Management.
  2. Akses konsol Amazon S3.
  3. Buka Amazon S3 > Buckets.
  4. Pilih bucket yang ada atau buat bucket baru.
  5. Klik Properties.
  6. Di bagian Pencatatan aktivitas akses server, klik Edit.
  7. Pilih Aktifkan.
  8. Di kolom Target bucket, masukkan nama bucket baru untuk mengirim objek catatan log atau pilih bucket yang ada sebagai target.
  1. Klik Simpan perubahan.
  2. Untuk membuat antrean SQS bagi bucket S3, konfigurasikan instance Amazon SQS dengan penyimpanan S3. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi bucket untuk notifikasi (topik SNS atau antrean SQS).

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan melihat dokumentasi AWS berikut:

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed Akses Layanan AWS S3

  1. Klik paket Amazon Cloud Platform.
  2. Cari jenis log Akses Layanan AWS S3.
  3. Google SecOps mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan kunci rahasia, lihat Mengonfigurasi autentikasi alat dengan AWS.

  4. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  5. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
aclRequired target.resource.attribute.labels.key: "aclRequired"
target.resource.attribute.labels.value: Nilai aclRequired		 Dipetakan langsung dari kolom log mentah aclRequired.
authenticationtype extensions.auth.auth_details Dipetakan langsung dari kolom log mentah authenticationtype.
bucket target.resource.name Dipetakan langsung dari kolom log mentah bucket.
bucket target.resource.resource_type: "STORAGE_BUCKET" Parser menetapkan resource_type ke "STORAGE_BUCKET" jika kolom bucket ada.
bucketowner target.resource.product_object_id Dipetakan langsung dari kolom log mentah bucketowner.
bytes_sent network.sent_bytes Dipetakan langsung dari kolom log mentah bytes_sent setelah dikonversi menjadi bilangan bulat tidak bertanda dan mengganti "-" dengan "0".
ciphersuite network.application_protocol: "HTTPS" Parser menetapkan application_protocol ke "HTTPS" jika kolom ciphersuite ada.
ciphersuite network.tls.cipher Dipetakan langsung dari kolom log mentah ciphersuite.
errorcode security_result.action_details Dipetakan langsung dari kolom log mentah errorcode.
errorcode security_result.action: "BLOCK" Parser menetapkan action ke "BLOCK" jika kolom errorcode berisi "AccessDenied" (tidak peka huruf besar/kecil).
hostheader target.hostname Diekstrak dari kolom log mentah hostheader, yang berpotensi menghapus nomor port.
hostheader target.port Diekstrak dari kolom log mentah hostheader jika ada nomor port.
hostid target.resource.attribute.labels.key: "S3 Extended Request ID"
target.resource.attribute.labels.value: Nilai hostid		 Dipetakan langsung dari kolom log mentah hostid.
http_capture network.http.method Metode HTTP diekstrak dari kolom http_capture.
http_capture network.http.version Versi HTTP diekstrak dari kolom http_capture.
http_capture target.url URL target dibuat menggunakan hostheader dan http_request_uri (diekstrak dari http_capture), yang diawali dengan "http://" atau "https://" berdasarkan keberadaan ciphersuite.
httpstatus network.http.response_code Dipetakan langsung dari kolom log mentah httpstatus setelah dikonversi menjadi bilangan bulat.
object_version_id target.resource.product_object_id Dipetakan langsung dari kolom log mentah object_version_id.
objectsize target.file.size Dipetakan langsung dari kolom log mentah objectsize setelah dikonversi menjadi bilangan bulat tidak bertanda dan mengganti "-" dengan "0".
operation metadata.product_event_type Dipetakan langsung dari kolom log mentah operation.
referrer network.http.referral_url Dipetakan langsung dari kolom log mentah referrer setelah menghapus tanda petik.
remoteip metadata.event_type: "USER_RESOURCE_ACCESS" Parser menetapkan event_type ke "USER_RESOURCE_ACCESS" jika kolom remoteip kosong.
remoteip principal.ip Dipetakan langsung dari kolom log mentah remoteip.
requester target.resource.attribute.labels.key: "Access Point ARN"
target.resource.attribute.labels.value: Nilai requester		 Dipetakan langsung dari kolom log mentah requester.
requester_user principal.user.userid Dipetakan langsung dari kolom log mentah requester_user.
requestid network.session_id Dipetakan langsung dari kolom log mentah requestid.
request_time_ms network.session_duration.nanos Dipetakan langsung dari kolom log mentah request_time_ms setelah dikonversi menjadi bilangan bulat, mengganti "-" dengan "0", dan menambahkan nol untuk merepresentasikan nanodetik.
signatureversion target.resource.attribute.labels.key: "Signature Version"
target.resource.attribute.labels.value: Nilai signatureversion		 Dipetakan langsung dari kolom log mentah signatureversion.
time metadata.event_timestamp Diuraikan dari kolom log mentah time dan dikonversi menjadi stempel waktu.
tlsVersion network.tls.version Dipetakan langsung dari kolom log mentah tlsVersion.
useragent network.http.user_agent Dipetakan langsung dari kolom log mentah useragent setelah menghapus tanda petik.
(Logika Parser) metadata.event_type: "NETWORK_HTTP" Parser menetapkan event_type default ke "NETWORK_HTTP".
(Logika Parser) metadata.log_type: "AWS_S3_SERVER_ACCESS" Parser menetapkan log_type ke "AWS_S3_SERVER_ACCESS".
(Logika Parser) metadata.product_name: "Akses Server AWS S3" Parser menetapkan product_name ke "AWS S3 Server Access".
(Logika Parser) metadata.product_version: "HTTP/http_version" Parser menetapkan product_version menggunakan http_version yang diekstrak.
(Logika Parser) metadata.vendor_name: "AMAZON" Parser menetapkan vendor_name ke "AMAZON".
(Logika Parser) network.application_protocol: "HTTP" Parser menetapkan application_protocol ke "HTTP" jika kolom ciphersuite tidak ada.
(Logika Parser) timestamp Parser menetapkan timestamp peristiwa ke waktu saat ini saat peristiwa diproses.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.