AWS Security Hub-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie AWS Security Hub-Logs in Google Security Operations aufnehmen. AWS Security Hub bietet eine umfassende Übersicht über Sicherheitswarnungen und ‑ergebnisse in allen AWS-Konten. Wenn Sie diese Ergebnisse an Google SecOps senden, können Sie die Funktionen von Google SecOps nutzen, um die Überwachung und Bedrohungserkennung zu verbessern.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Privilegierter Zugriff auf AWS

AWS IAM und S3 konfigurieren

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
15. Wählen Sie Berechtigungen hinzufügen aus.
16. Wählen Sie Richtlinien direkt anhängen aus.
17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
18. Klicken Sie auf Weiter.
19. Klicken Sie auf Berechtigungen hinzufügen.

Lambda-Funktion erstellen

1. Melden Sie sich bei der AWS Management Console an.
2. Rufen Sie Lambda auf.
3. Klicken Sie auf Funktion erstellen und wählen Sie Von Grund auf erstellen aus.
4. Geben Sie einen Namen für die Funktion ein, z. B. SecurityHubToS3.
5. Wählen Sie als Laufzeit Python 3.x aus.

6. Geben Sie den Lambda-Code ein, der die Ergebnisse von EventBridge übernimmt und in Ihren S3-Bucket schreibt:

   import json
   import boto3
   from datetime import datetime
   
   # Initialize the S3 client
   s3_client = boto3.client('s3')
   
   # S3 bucket where findings will be stored
   bucket_name = 'aws-security-hub-findings-stream'
   
   def lambda_handler(event, context):
      # Extract Security Hub findings from the event
      findings = event['detail']['findings']
   
      # Generate a timestamp for the file name to avoid overwriting
      timestamp = datetime.now().strftime('%Y-%m-%dT%H-%M-%S')
   
      # Generate the S3 object key (file name) based on the timestamp
      object_key = f"security_hub_findings_{timestamp}.json"
   
      # Convert findings to JSON format
      findings_json = json.dumps(findings)
   
      # Upload the findings to S3
      try:
         response = s3_client.put_object(
               Bucket=bucket_name,
               Key=object_key,
               Body=findings_json,
               ContentType='application/json'
         )
         print(f"Successfully uploaded findings to S3: {response}")
      except Exception as e:
         print(f"Error uploading findings to S3: {e}")
         raise e
   
      return {
         'statusCode': 200,
         'body': json.dumps('Successfully processed findings')
      }
   

7. Legen Sie Berechtigungen für Lambda fest, indem Sie der Lambda-Funktion eine IAM-Rolle mit der folgenden Richtlinie hinzufügen:

   {
      "Version": "2012-10-17",
      "Statement": [
         {
               "Effect": "Allow",
               "Action": [
                  "s3:PutObject"
               ],
               "Resource": "arn:aws:s3:::aws-security-hub-findings-stream/*"
         }
      ]
   }
   

AWS Security Hub so konfigurieren, dass Ergebnisse mit EventBridge weitergeleitet werden

1. Melden Sie sich bei der AWS Management Console an.
2. Geben Sie in der Suchleiste Security Hub ein und wählen Sie den Dienst aus der Liste aus.
3. Klicken Sie auf Einstellungen.
4. Suchen Sie im Bereich Integrationen nach EventBridge und klicken Sie auf Aktivieren.
5. Geben Sie in der Suchleiste EventBridge ein und wählen Sie den Dienst aus der Liste aus.
6. Klicken Sie in der EventBridge-Konsole auf Regeln> Regel erstellen.
7. Geben Sie die folgende Regelkonfiguration an:
   1. Regelname: Geben Sie einen beschreibenden Namen für die Regel an, z. B. SendSecurityHubFindingsToS3.
   2. Event Source (Ereignisquelle): Wählen Sie AWS services (AWS-Dienste) aus.
   3. Service Name (Dienstname): Wählen Sie Security Hub aus.
   4. Event Type (Ereignistyp): Wählen Sie Security Hub Findings (Security Hub-Ergebnisse) aus.
   5. Ziel festlegen: Wählen Sie Lambda-Funktion aus.
   6. Wählen Sie die gerade erstellte Lambda-Funktion aus (SecurityHubToS3).
8. Klicken Sie auf Erstellen.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds
• Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Mehrere Feeds konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Security Hub Logs (AWS Security Hub-Logs).
5. Wählen Sie Amazon S3 als Quelltyp aus.
6. Wählen Sie AWS Security Hub als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
   • S3-URI: Der Bucket-URI.
     • s3://your-log-bucket-name/
       • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
   • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

   • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

   • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

   • Asset-Namespace: Der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

• Region: Die Region, in der sich der Amazon S3-Bucket befindet.
• S3-URI: Der Bucket-URI.
  • s3://your-log-bucket-name/
    • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
• URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
• Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

• Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

• Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

Erweiterte Optionen

• Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
• Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
• Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
• Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten