AWS Session Manager-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie AWS Session Manager-Protokolle in Google Security Operations aufnehmen. AWS Session Manager bietet sicheren und prüfbaren Zugriff auf Amazon EC2-Instanzen und lokale Server. Durch die Integration der Protokolle in Google SecOps können Sie Ihren Sicherheitsstatus verbessern und Remotezugriffsereignisse verfolgen.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Privilegierter Zugriff auf AWS
AWS IAM und S3 konfigurieren
- Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
- Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung.
- Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
- Wählen Sie den erstellten Nutzer aus.
- Wählen Sie den Tab Sicherheitsanmeldedaten aus.
- Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
- Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
- Klicken Sie auf Weiter.
- Optional: Fügen Sie ein Beschreibungstag hinzu.
- Klicken Sie auf Zugriffsschlüssel erstellen.
- Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
- Klicken Sie auf Fertig.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Richtlinien direkt anhängen aus.
- Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Berechtigungen hinzufügen.
AWS Session Manager so konfigurieren, dass Logs in S3 gespeichert werden
- Rufen Sie die AWS Systems Manager-Konsole auf.
- Wählen Sie im Navigationsbereich Session Manager aus.
- Klicken Sie auf den Tab Einstellungen.
- Klicken Sie auf Bearbeiten.
- Wählen Sie unter „S3-Protokollierung“ das Kästchen Aktivieren aus.
- Deaktivieren Sie das Kästchen Nur verschlüsselte S3-Buckets zulassen.
- Wählen Sie einen Amazon S3-Bucket aus, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
- Geben Sie den Namen eines Amazon S3-Buckets ein, der bereits in Ihrem Konto erstellt wurde, um Sitzungsprotokolldaten zu speichern.
- Klicken Sie auf Speichern.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Session Manager Logs (AWS Session Manager-Protokolle).
- Wählen Sie Amazon S3 als Quelltyp aus.
- Wählen Sie AWS Session Manager als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/- Ersetzen Sie
your-log-bucket-namedurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/- Ersetzen Sie
your-log-bucket-namedurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
--cid |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--collector.filesystem.ignored-mount-points |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--collector.vmstat.fields |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--message-log |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--name |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--net |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--path.procfs |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--path.rootfs |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
--path.sysfs |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
-v /:/rootfs:ro |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
-v /proc:/host/proc |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
-v /sys:/host/sys |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
CID |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
ERROR |
security_result.severity | Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde. |
falconctl |
metadata.description | Teil des Beschreibungsfelds, sofern im Log vorhanden |
ip-1-2-4-2 |
principal.ip | Wird aus der Logmeldung mit Grok-Mustervergleich extrahiert und in ein Standard-IP-Adressformat konvertiert. |
ip-1-2-8-6 |
principal.ip | Wird aus der Logmeldung mit Grok-Mustervergleich extrahiert und in ein Standard-IP-Adressformat konvertiert. |
java |
target.process.command_line | Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde. |
Jun13 |
metadata.event_timestamp.seconds | Teil des Zeitstempelfelds, sofern im Log vorhanden, kombiniert mit den Feldern „month_date“ und „time_stamp“. |
[kworker/u16:8-kverityd] |
target.process.command_line | Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde. |
root |
principal.user.userid | Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde. |
| metadata.event_type | Wird anhand des Vorhandenseins und der Werte anderer Felder bestimmt: – „STATUS_UPDATE“, wenn „src_ip“ vorhanden ist. – „NETWORK_CONNECTION“, wenn sowohl „src_ip“ als auch „dest_ip“ vorhanden sind. : „USER_UNCATEGORIZED“, wenn user_id vorhanden ist. – andernfalls „GENERIC_EVENT“. |
|
| metadata.log_type | Legen Sie diesen Wert auf „AWS_SESSION_MANAGER“ fest. | |
| metadata.product_name | Auf „AWS Session Manager“ festgelegt. | |
| metadata.vendor_name | Legen Sie diesen Wert auf „Amazon“ fest. | |
| target.process.pid | Aus der Log-Nachricht extrahiert, indem das Grok-Muster verwendet wurde. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten