Esta página foi traduzida pela API Cloud Translation.

Coletar registros de acesso ao servidor do AWS S3

Compatível com:

Google SecOps SIEM

Neste documento, explicamos como coletar registros de acesso ao servidor do AWS S3 configurando um feed do Google Security Operations. O analisador extrai campos usando padrões grok, processa possíveis entradas JSON e mapeia os campos extraídos para a UDM. Ele realiza transformações de dados, conversões de tipo e lógica condicional com base na presença e nos valores de campos específicos para garantir uma representação precisa do UDM.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Acesso privilegiado à AWS

Como configurar o registro de acesso ao servidor do AWS S3

O Google SecOps é compatível com a coleta de registros usando o Amazon S3 pelo Amazon SQS.

Faça login no console de Gerenciamento da AWS.
Acesse o console do Amazon S3.
Acesse Amazon S3 > Buckets.
Selecione um bucket ou crie um.
Clique em Properties.
Na seção Registro de acesso ao servidor, clique em Editar.
Selecione Ativar.
No campo Bucket de destino, insira um nome para o novo bucket em que os objetos de registro de eventos serão enviados ou selecione um bucket existente como destino.

Clique em Salvar alterações.
Para criar a fila do SQS para o bucket do S3, configure uma instância do Amazon SQS com o armazenamento do S3. Para mais informações, consulte Configurar um bucket para notificações (tópico do SNS ou fila do SQS).

Com base no serviço e na região, identifique os endpoints de conectividade consultando a seguinte documentação da AWS:

Para informações sobre qualquer fonte de geração de registros, consulte Endpoints e cotas do AWS Identity and Access Management.
Para informações sobre fontes de geração de registros do S3, consulte Endpoints e cotas do Amazon Simple Storage Service.
Para informações sobre fontes de geração de registros do SQS, consulte Endpoints e cotas do Amazon Simple Queue Service.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds > Adicionar novo
Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed de acesso ao serviço do AWS S3

Clique no pacote Amazon Cloud Platform.
Localize o tipo de registro Acesso ao serviço do AWS S3.
O Google SecOps oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.
Especifique os valores nos campos a seguir.
- Tipo de origem: Amazon SQS V2
- Nome da fila: o nome da fila do SQS de onde ler.
- URI do S3: o URI do bucket.
  - s3://your-log-bucket-name/
    - Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.
- Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`aclRequired`	`target.resource.attribute.labels.key`: "aclRequired" `target.resource.attribute.labels.value`: valor de `aclRequired`	Mapeado diretamente do campo de registro bruto `aclRequired`.
`authenticationtype`	`extensions.auth.auth_details`	Mapeado diretamente do campo de registro bruto `authenticationtype`.
`bucket`	`target.resource.name`	Mapeado diretamente do campo de registro bruto `bucket`.
`bucket`	`target.resource.resource_type`: "STORAGE_BUCKET"	O analisador define `resource_type` como "STORAGE_BUCKET" se o campo `bucket` estiver presente.
`bucketowner`	`target.resource.product_object_id`	Mapeado diretamente do campo de registro bruto `bucketowner`.
`bytes_sent`	`network.sent_bytes`	Mapeado diretamente do campo de registro bruto `bytes_sent` após a conversão para um número inteiro sem sinal e a substituição de "-" por "0".
`ciphersuite`	`network.application_protocol`: "HTTPS"	O analisador define `application_protocol` como "HTTPS" se o campo `ciphersuite` estiver presente.
`ciphersuite`	`network.tls.cipher`	Mapeado diretamente do campo de registro bruto `ciphersuite`.
`errorcode`	`security_result.action_details`	Mapeado diretamente do campo de registro bruto `errorcode`.
`errorcode`	`security_result.action`: "BLOCK"	O analisador define `action` como "BLOCK" se o campo `errorcode` contiver "AccessDenied" (sem diferenciar maiúsculas e minúsculas).
`hostheader`	`target.hostname`	Extraído do campo de registro bruto `hostheader`, removendo potencialmente o número da porta.
`hostheader`	`target.port`	Extraído do campo de registro bruto `hostheader` se um número de porta estiver presente.
`hostid`	`target.resource.attribute.labels.key`: "ID da solicitação estendida do S3" `target.resource.attribute.labels.value`: valor de `hostid`	Mapeado diretamente do campo de registro bruto `hostid`.
`http_capture`	`network.http.method`	O método HTTP é extraído do campo `http_capture`.
`http_capture`	`network.http.version`	A versão HTTP é extraída do campo `http_capture`.
`http_capture`	`target.url`	O URL de destino é criado usando `hostheader` e `http_request_uri` (extraídos de `http_capture`), com o prefixo "http://" ou "https://" com base na presença de `ciphersuite`.
`httpstatus`	`network.http.response_code`	Mapeado diretamente do campo de registro bruto `httpstatus` depois de convertê-lo em um número inteiro.
`object_version_id`	`target.resource.product_object_id`	Mapeado diretamente do campo de registro bruto `object_version_id`.
`objectsize`	`target.file.size`	Mapeado diretamente do campo de registro bruto `objectsize` após a conversão para um número inteiro sem sinal e a substituição de "-" por "0".
`operation`	`metadata.product_event_type`	Mapeado diretamente do campo de registro bruto `operation`.
`referrer`	`network.http.referral_url`	Mapeado diretamente do campo de registro bruto `referrer` após a remoção das aspas.
`remoteip`	`metadata.event_type`: "USER_RESOURCE_ACCESS"	O analisador define o `event_type` como "USER_RESOURCE_ACCESS" se o campo `remoteip` estiver vazio.
`remoteip`	`principal.ip`	Mapeado diretamente do campo de registro bruto `remoteip`.
`requester`	`target.resource.attribute.labels.key`: "ARN do ponto de acesso" `target.resource.attribute.labels.value`: valor de `requester`	Mapeado diretamente do campo de registro bruto `requester`.
`requester_user`	`principal.user.userid`	Mapeado diretamente do campo de registro bruto `requester_user`.
`requestid`	`network.session_id`	Mapeado diretamente do campo de registro bruto `requestid`.
`request_time_ms`	`network.session_duration.nanos`	Mapeado diretamente do campo de registro bruto `request_time_ms` após a conversão para um número inteiro, substituindo "-" por "0" e adicionando zeros para representar nanossegundos.
`signatureversion`	`target.resource.attribute.labels.key`: "Signature Version" `target.resource.attribute.labels.value`: Value of `signatureversion`	Mapeado diretamente do campo de registro bruto `signatureversion`.
`time`	`metadata.event_timestamp`	Analisado do campo de registro bruto `time` e convertido em um carimbo de data/hora.
`tlsVersion`	`network.tls.version`	Mapeado diretamente do campo de registro bruto `tlsVersion`.
`useragent`	`network.http.user_agent`	Mapeado diretamente do campo de registro bruto `useragent` após a remoção das aspas.
(Lógica do analisador)	`metadata.event_type`: "NETWORK_HTTP"	O analisador define o `event_type` padrão como "NETWORK_HTTP".
(Lógica do analisador)	`metadata.log_type`: "AWS_S3_SERVER_ACCESS"	O analisador define `log_type` como "AWS_S3_SERVER_ACCESS".
(Lógica do analisador)	`metadata.product_name`: "Acesso ao servidor do AWS S3"	O analisador define o `product_name` como "Acesso ao servidor do AWS S3".
(Lógica do analisador)	`metadata.product_version`: "HTTP/`http_version`"	O analisador sintático define o `product_version` usando o `http_version` extraído.
(Lógica do analisador)	`metadata.vendor_name`: "AMAZON"	O analisador define `vendor_name` como "AMAZON".
(Lógica do analisador)	`network.application_protocol`: "HTTP"	O analisador define `application_protocol` como "HTTP" se o campo `ciphersuite` não estiver presente.
(Lógica do analisador)	`timestamp`	O analisador define o evento `timestamp` como a hora atual quando o evento é processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.