Recoger registros de AWS Session Manager

Disponible en:

En este documento se explica cómo ingerir registros de AWS Session Manager en Google Security Operations. AWS Session Manager proporciona acceso seguro y auditable a las instancias de Amazon EC2 y a los servidores on-premise. Al integrar sus registros en Google SecOps, puede mejorar su postura de seguridad y monitorizar los eventos de acceso remoto.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configurar AWS IAM y S3

  1. Crea un segmento de Amazon S3 siguiendo esta guía del usuario: Crear un segmento.
  2. Guarda el nombre y la región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Cómo configurar AWS Session Manager para guardar registros en S3

  1. Ve a la consola de AWS Systems Manager.
  2. En el panel de navegación, selecciona Gestor de sesiones.
  3. Haz clic en la pestaña Preferencias.
  4. Haz clic en Editar.
  5. En Registro de S3, marca la casilla Habilitar.
  6. Desmarca la casilla Permitir solo buckets de S3 cifrados.
  7. Selecciona un segmento de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de sesiones.
  8. Introduce el nombre de un segmento de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de sesiones.
  9. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS Session Manager

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busque el tipo de registro AWS Session Manager.

  3. Especifique los valores en los campos siguientes.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
    • URI de S3: el URI del segmento.
      • s3://your-log-bucket-name/
        • Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
--cid metadata.description Parte del campo de descripción cuando está presente en el registro.
--collector.filesystem.ignored-mount-points metadata.description Parte del campo de descripción cuando está presente en el registro.
--collector.vmstat.fields metadata.description Parte del campo de descripción cuando está presente en el registro.
--message-log metadata.description Parte del campo de descripción cuando está presente en el registro.
--name metadata.description Parte del campo de descripción cuando está presente en el registro.
--net metadata.description Parte del campo de descripción cuando está presente en el registro.
--path.procfs metadata.description Parte del campo de descripción cuando está presente en el registro.
--path.rootfs metadata.description Parte del campo de descripción cuando está presente en el registro.
--path.sysfs metadata.description Parte del campo de descripción cuando está presente en el registro.
-v /:/rootfs:ro metadata.description Parte del campo de descripción cuando está presente en el registro.
-v /proc:/host/proc metadata.description Parte del campo de descripción cuando está presente en el registro.
-v /sys:/host/sys metadata.description Parte del campo de descripción cuando está presente en el registro.
CID metadata.description Parte del campo de descripción cuando está presente en el registro.
ERROR security_result.severity Se extrae del mensaje de registro mediante la concordancia de patrones grok.
falconctl metadata.description Parte del campo de descripción cuando está presente en el registro.
ip-1-2-4-2 principal.ip Se extrae del mensaje de registro mediante la coincidencia de patrones grok y se convierte a un formato de dirección IP estándar.
ip-1-2-8-6 principal.ip Se extrae del mensaje de registro mediante la coincidencia de patrones grok y se convierte a un formato de dirección IP estándar.
java target.process.command_line Se extrae del mensaje de registro mediante la concordancia de patrones grok.
Jun13 metadata.event_timestamp.seconds Parte del campo de marca de tiempo cuando está presente en el registro, combinada con los campos month_date y time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Se extrae del mensaje de registro mediante la concordancia de patrones grok.
root principal.user.userid Se extrae del mensaje de registro mediante la concordancia de patrones grok.
metadata.event_type Se determina en función de la presencia y los valores de otros campos:
- "STATUS_UPDATE" si src_ip está presente.
- "NETWORK_CONNECTION" si se incluyen src_ip y dest_ip.
: "USER_UNCATEGORIZED" si se incluye user_id.
- "GENERIC_EVENT" en caso contrario.
metadata.log_type Se ha definido como "AWS_SESSION_MANAGER".
metadata.product_name Seleccione "AWS Session Manager".
metadata.vendor_name Selecciona "Amazon".
target.process.pid Se extrae del mensaje de registro mediante la concordancia de patrones grok.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.