Recopila registros del Administrador de sesiones de AWS

Compatible con:

En este documento, se explica cómo transferir registros de AWS Session Manager a Google Security Operations. AWS Session Manager proporciona acceso seguro y auditable a las instancias de Amazon EC2 y a los servidores locales. Cuando integras sus registros en Google SecOps, puedes mejorar tu posición de seguridad y hacer un seguimiento de los eventos de acceso remoto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configura IAM y S3 de AWS

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Guarda el Nombre y la Región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Cómo configurar AWS Session Manager para guardar registros en S3

  1. Ve a la consola de AWS Systems Manager.
  2. En el panel de navegación, selecciona Session Manager.
  3. Haz clic en la pestaña Preferencias.
  4. Haz clic en Editar.
  5. En Registro de S3, selecciona la casilla de verificación Habilitar.
  6. Anula la selección de la casilla de verificación Permitir solo buckets de S3 encriptados.
  7. Selecciona un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos del registro de sesiones.
  8. Ingresa el nombre de un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de la sesión.
  9. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Session Manager).
  5. Selecciona Amazon S3 como el Tipo de fuente.
  6. Selecciona AWS Session Manager como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios, según la estructura de tu bucket.
    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Región: Es la región en la que se encuentra el bucket de Amazon S3.
  • URI de S3: Es el URI del bucket.
    • s3://your-log-bucket-name/
      • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
  • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios, según la estructura de tu bucket.
  • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
  • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

  • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
--cid metadata.description Parte del campo de descripción cuando está presente en el registro
--collector.filesystem.ignored-mount-points metadata.description Parte del campo de descripción cuando está presente en el registro
--collector.vmstat.fields metadata.description Parte del campo de descripción cuando está presente en el registro
--message-log metadata.description Parte del campo de descripción cuando está presente en el registro
--name metadata.description Parte del campo de descripción cuando está presente en el registro
--net metadata.description Parte del campo de descripción cuando está presente en el registro
--path.procfs metadata.description Parte del campo de descripción cuando está presente en el registro
--path.rootfs metadata.description Parte del campo de descripción cuando está presente en el registro
--path.sysfs metadata.description Parte del campo de descripción cuando está presente en el registro
-v /:/rootfs:ro metadata.description Parte del campo de descripción cuando está presente en el registro
-v /proc:/host/proc metadata.description Parte del campo de descripción cuando está presente en el registro
-v /sys:/host/sys metadata.description Parte del campo de descripción cuando está presente en el registro
CID metadata.description Parte del campo de descripción cuando está presente en el registro
ERROR security_result.severity Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
falconctl metadata.description Parte del campo de descripción cuando está presente en el registro
ip-1-2-4-2 principal.ip Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
ip-1-2-8-6 principal.ip Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar.
java target.process.command_line Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
Jun13 metadata.event_timestamp.seconds Es parte del campo de marca de tiempo cuando está presente en el registro, combinado con los campos month_date y time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
root principal.user.userid Se extrae del mensaje de registro con la coincidencia de patrones de Grok.
metadata.event_type Se determina según la presencia y los valores de otros campos:
- "STATUS_UPDATE" si src_ip está presente.
: "NETWORK_CONNECTION" si están presentes src_ip y dest_ip.
: "USER_UNCATEGORIZED" si está presente user_id
: "GENERIC_EVENT" en otros casos.
metadata.log_type Se debe establecer en "AWS_SESSION_MANAGER".
metadata.product_name Se debe establecer en "AWS Session Manager".
metadata.vendor_name Se debe establecer en "Amazon".
target.process.pid Se extrae del mensaje de registro con la coincidencia de patrones de Grok.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.