Recopila registros del Administrador de sesiones de AWS
En este documento, se explica cómo transferir registros de AWS Session Manager a Google Security Operations. AWS Session Manager proporciona acceso seguro y auditable a las instancias de Amazon EC2 y a los servidores locales. Cuando integras sus registros en Google SecOps, puedes mejorar tu posición de seguridad y hacer un seguimiento de los eventos de acceso remoto.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso privilegiado a AWS
Configura IAM y S3 de AWS
- Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
- Guarda el Nombre y la Región del bucket para usarlos más adelante.
- Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
- Selecciona el usuario creado.
- Selecciona la pestaña Credenciales de seguridad.
- Haz clic en Crear clave de acceso en la sección Claves de acceso.
- Selecciona Servicio de terceros como el Caso de uso.
- Haz clic en Siguiente.
- Opcional: Agrega una etiqueta de descripción.
- Haz clic en Crear clave de acceso.
- Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
- Haz clic en Listo.
- Selecciona la pestaña Permisos.
- Haz clic en Agregar permisos en la sección Políticas de permisos.
- Selecciona Agregar permisos.
- Selecciona Adjuntar políticas directamente.
- Busca y selecciona la política AmazonS3FullAccess.
- Haz clic en Siguiente.
- Haz clic en Agregar permisos.
Cómo configurar AWS Session Manager para guardar registros en S3
- Ve a la consola de AWS Systems Manager.
- En el panel de navegación, selecciona Session Manager.
- Haz clic en la pestaña Preferencias.
- Haz clic en Editar.
- En Registro de S3, selecciona la casilla de verificación Habilitar.
- Anula la selección de la casilla de verificación Permitir solo buckets de S3 encriptados.
- Selecciona un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de la sesión.
- Ingresa el nombre de un bucket de Amazon S3 que ya se haya creado en tu cuenta para almacenar los datos de registro de la sesión.
- Haz clic en Guardar.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds > Agregar un feed nuevo
- Centro de contenido > Paquetes de contenido > Comenzar
Cómo configurar el feed de AWS Session Manager
- Haz clic en el paquete Amazon Cloud Platform.
- Ubica el tipo de registro AWS Session Manager.
Especifica los valores en los siguientes campos.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
- URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/- Reemplaza
your-log-bucket-namepor el nombre real de tu bucket de S3.
- Reemplaza
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
--cid |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--collector.filesystem.ignored-mount-points |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--collector.vmstat.fields |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--message-log |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--name |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--net |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--path.procfs |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--path.rootfs |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
--path.sysfs |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
-v /:/rootfs:ro |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
-v /proc:/host/proc |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
-v /sys:/host/sys |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
CID |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
ERROR |
security_result.severity | Se extrae del mensaje de registro con la coincidencia de patrones de Grok. |
falconctl |
metadata.description | Parte del campo de descripción cuando está presente en el registro |
ip-1-2-4-2 |
principal.ip | Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar. |
ip-1-2-8-6 |
principal.ip | Se extrae del mensaje de registro con la coincidencia de patrones de Grok y se convierte a un formato de dirección IP estándar. |
java |
target.process.command_line | Se extrae del mensaje de registro con la coincidencia de patrones de Grok. |
Jun13 |
metadata.event_timestamp.seconds | Es parte del campo de marca de tiempo cuando está presente en el registro, combinado con los campos month_date y time_stamp. |
[kworker/u16:8-kverityd] |
target.process.command_line | Se extrae del mensaje de registro con la coincidencia de patrones de Grok. |
root |
principal.user.userid | Se extrae del mensaje de registro con la coincidencia de patrones de Grok. |
| metadata.event_type | Se determina según la presencia y los valores de otros campos: - "STATUS_UPDATE" si src_ip está presente. : "NETWORK_CONNECTION" si están presentes src_ip y dest_ip. : "USER_UNCATEGORIZED" si está presente user_id : "GENERIC_EVENT" en otros casos. |
|
| metadata.log_type | Se debe establecer en "AWS_SESSION_MANAGER". | |
| metadata.product_name | Se debe establecer en "AWS Session Manager". | |
| metadata.vendor_name | Se establece en "Amazon". | |
| target.process.pid | Se extrae del mensaje de registro con la coincidencia de patrones de Grok. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.