In diesem Dokument wird beschrieben, wie Sie AWS Session Manager-Protokolle in Google Security Operations aufnehmen. AWS Session Manager bietet sicheren und prüfbaren Zugriff auf Amazon EC2-Instanzen und lokale Server. Durch die Integration der Protokolle in Google SecOps können Sie Ihren Sicherheitsstatus verbessern und Remotezugriffsereignisse verfolgen.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
Google SecOps-Instanz
Privilegierter Zugriff auf AWS
AWS IAM und S3 konfigurieren
Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie als AnwendungsfallDrittanbieterdienst aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.
AWS Session Manager so konfigurieren, dass Logs in S3 gespeichert werden
Wählen Sie im Navigationsbereich Session Manager aus.
Klicken Sie auf den Tab Einstellungen.
Klicken Sie auf Bearbeiten.
Wählen Sie unter „S3-Protokollierung“ das Kästchen Aktivieren aus.
Deaktivieren Sie das Kästchen Nur verschlüsselte S3-Buckets zulassen.
Wählen Sie einen Amazon S3-Bucket aus, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
Geben Sie den Namen eines Amazon S3-Buckets ein, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
Klicken Sie auf Speichern.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
SIEM-Einstellungen > Feeds > Neu hinzufügen
Content Hub > Content-Packs > Erste Schritte
AWS Session Manager-Feed einrichten
Klicken Sie auf das Paket Amazon Cloud Platform.
Suchen Sie den Logtyp AWS Session Manager.
Geben Sie die Werte in den folgenden Feldern an.
Quelltyp: Amazon SQS V2
Warteschlangenname: Der Name der SQS-Warteschlange, aus der gelesen werden soll.
S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/
Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
SQS Queue Access Key ID (SQS-Warteschlange-Zugriffsschlüssel-ID): Ein Konto-Zugriffsschlüssel, der ein 20-stelliger alphanumerischer String ist.
SQS Queue Secret Access Key (geheimer Zugriffsschlüssel für SQS-Warteschlange): Ein Konto-Zugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist.
Erweiterte Optionen
Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.
Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
UDM-Zuordnungstabelle
Logfeld
UDM-Zuordnung
Logik
--cid
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--collector.filesystem.ignored-mount-points
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--collector.vmstat.fields
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--message-log
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--name
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--net
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.procfs
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.rootfs
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
--path.sysfs
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /:/rootfs:ro
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /proc:/host/proc
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
-v /sys:/host/sys
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
CID
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
ERROR
security_result.severity
Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde.
falconctl
metadata.description
Teil des Beschreibungsfelds, sofern im Log vorhanden
ip-1-2-4-2
principal.ip
Wird aus der Logmeldung mit Grok-Mustervergleich extrahiert und in ein Standard-IP-Adressformat konvertiert.
ip-1-2-8-6
principal.ip
Wird aus der Logmeldung mit Grok-Mustervergleich extrahiert und in ein Standard-IP-Adressformat konvertiert.
java
target.process.command_line
Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde.
Jun13
metadata.event_timestamp.seconds
Teil des Zeitstempelfelds, sofern im Log vorhanden, kombiniert mit den Feldern „month_date“ und „time_stamp“.
[kworker/u16:8-kverityd]
target.process.command_line
Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde.
root
principal.user.userid
Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde.
metadata.event_type
Wird anhand des Vorhandenseins und der Werte anderer Felder bestimmt: – „STATUS_UPDATE“, wenn „src_ip“ vorhanden ist. – „NETWORK_CONNECTION“, wenn sowohl „src_ip“ als auch „dest_ip“ vorhanden sind. : „USER_UNCATEGORIZED“, wenn user_id vorhanden ist. – andernfalls „GENERIC_EVENT“.
metadata.log_type
Legen Sie diesen Wert auf „AWS_SESSION_MANAGER“ fest.
metadata.product_name
Auf „AWS Session Manager“ festgelegt.
metadata.vendor_name
Legen Sie diesen Wert auf „Amazon“ fest.
target.process.pid
Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eThis guide outlines how to ingest AWS Session Manager logs into Google Security Operations (SecOps) to enhance security and track remote access events.\u003c/p\u003e\n"],["\u003cp\u003eBefore configuring the log ingestion, you need to have a Google SecOps instance and privileged access to AWS, as well as creating an Amazon S3 bucket and an IAM user with appropriate permissions.\u003c/p\u003e\n"],["\u003cp\u003eYou must configure AWS Session Manager to save logs to a designated S3 bucket by enabling S3 logging in the Session Manager preferences and selecting the proper bucket.\u003c/p\u003e\n"],["\u003cp\u003eTo complete the integration, create a new feed in Google SecOps by specifying the Amazon S3 source type, AWS Session Manager log type, the S3 bucket region and URI, and AWS access credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe log data fields collected from AWS Session Manager are mapped to the Google SecOps UDM fields to help make the data more useful.\u003c/p\u003e\n"]]],[],null,["# Collect AWS Session Manager logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest AWS Session Manager logs to Google Security Operations. AWS Session Manager provides secure and auditable access to Amazon EC2 instances and on-premises servers. By integrating its logs into Google SecOps, you can enhance your security posture and track remote access events.\n\nBefore you begin\n----------------\n\nEnsure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to AWS\n\nConfigure AWS IAM and S3\n------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for later use.\n3. Create a user following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: add a description tag.\n10. Click **Create access key**.\n11. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nHow to configure AWS Session Manager to Save Logs in S3\n-------------------------------------------------------\n\n1. Go to the [AWS Systems Manager console](https://console.aws.amazon.com/systems-manager/).\n2. In the navigation pane, select **Session Manager**.\n3. Click the **Preferences** tab.\n4. Click **Edit**.\n5. Under S3 logging, select the **Enable** checkbox.\n6. Deselect the **Allow only encrypted S3 buckets** checkbox.\n7. Select an Amazon S3 bucket that has already been created in your account to store session log data.\n8. Enter the name of an Amazon S3 bucket that has already been created in your account to store session log data.\n9. Click **Save**.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the AWS Session Manager feed\n------------------------------------------\n\n1. Click the **Amazon Cloud Platform** pack.\n2. Locate the **AWS Session Manager** log type.\n3. Specify the values in the following fields.\n\n - **Source Type**: Amazon SQS V2\n - **Queue Name**: The SQS queue name to read from\n - **S3 URI** : The bucket URI.\n - `s3://your-log-bucket-name/`\n - Replace `your-log-bucket-name` with the actual name of your S3 bucket.\n - **Source deletion options**: Select the deletion option according to your ingestion preferences.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Maximum File Age**: Include files modified in the last number of days. Default is 180 days.\n\n - **SQS Queue Access Key ID**: An account access key that is a 20-character alphanumeric string.\n\n - **SQS Queue Secret Access Key**: An account access key that is a 40-character alphanumeric string.\n\n **Advanced options**\n - **Feed Name**: A prepopulated value that identifies the feed.\n - **Asset Namespace**: Namespace associated with the feed.\n - **Ingestion Labels**: Labels applied to all events from this feed.\n4. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
