Collecter les journaux AWS Session Manager

Compatible avec :

Ce document explique comment ingérer les journaux AWS Session Manager dans Google Security Operations. AWS Session Manager permet d'accéder de manière sécurisée et auditable aux instances Amazon EC2 et aux serveurs sur site. En intégrant ses journaux à Google SecOps, vous pouvez améliorer votre posture de sécurité et suivre les événements d'accès à distance.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Accès privilégié à AWS

Configurer AWS IAM et S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer AWS Session Manager pour enregistrer les journaux dans S3

  1. Accédez à la console AWS Systems Manager.
  2. Dans le volet de navigation, sélectionnez Gestionnaire de sessions.
  3. Cliquez sur l'onglet Préférences.
  4. Cliquez sur Modifier.
  5. Sous "Journalisation S3", cochez la case Activer.
  6. Décochez la case Autoriser uniquement les buckets S3 chiffrés.
  7. Sélectionnez un bucket Amazon S3 déjà créé dans votre compte pour stocker les données du journal des sessions.
  8. Saisissez le nom d'un bucket Amazon S3 déjà créé dans votre compte pour stocker les données du journal de session.
  9. Cliquez sur Enregistrer.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux > Ajouter un flux
  • Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux AWS Session Manager

  1. Cliquez sur le pack Amazon Cloud Platform.
  2. Recherchez le type de journal AWS Session Manager.

  3. Spécifiez les valeurs des champs suivants.

    • Type de source : Amazon SQS V2
    • Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données
    • URI S3 : URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel de votre bucket S3.

    • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • ID de clé d'accès à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères.

    • Clé d'accès secrète à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères.

    Options avancées

    • Nom du flux : valeur préremplie qui identifie le flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

  4. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Table de mappage UDM

Champ de journal Mappage UDM Logique
--cid metadata.description Partie du champ de description, le cas échéant, dans le journal
--collector.filesystem.ignored-mount-points metadata.description Partie du champ de description, le cas échéant, dans le journal
--collector.vmstat.fields metadata.description Partie du champ de description, le cas échéant, dans le journal
--message-log metadata.description Partie du champ de description, le cas échéant, dans le journal
--name metadata.description Partie du champ de description, le cas échéant, dans le journal
--net metadata.description Partie du champ de description, le cas échéant, dans le journal
--path.procfs metadata.description Partie du champ de description, le cas échéant, dans le journal
--path.rootfs metadata.description Partie du champ de description, le cas échéant, dans le journal
--path.sysfs metadata.description Partie du champ de description, le cas échéant, dans le journal
-v /:/rootfs:ro metadata.description Partie du champ de description, le cas échéant, dans le journal
-v /proc:/host/proc metadata.description Partie du champ de description, le cas échéant, dans le journal
-v /sys:/host/sys metadata.description Partie du champ de description, le cas échéant, dans le journal
CID metadata.description Partie du champ de description, le cas échéant, dans le journal
ERROR security_result.severity Extrait du message de journal à l'aide de la correspondance de modèles Grok.
falconctl metadata.description Partie du champ de description, le cas échéant, dans le journal
ip-1-2-4-2 principal.ip Extrait du message de journal à l'aide de la correspondance de modèle Grok et converti au format d'adresse IP standard.
ip-1-2-8-6 principal.ip Extrait du message de journal à l'aide de la correspondance de modèle Grok et converti au format d'adresse IP standard.
java target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèles Grok.
Jun13 metadata.event_timestamp.seconds Partie du champ d'horodatage lorsqu'elle est présente dans le journal, combinée aux champs "month_date" et "time_stamp".
[kworker/u16:8-kverityd] target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèles Grok.
root principal.user.userid Extrait du message de journal à l'aide de la correspondance de modèles Grok.
metadata.event_type Déterminé en fonction de la présence et des valeurs des autres champs :
 : "STATUS_UPDATE" si src_ip est présent.
 : "NETWORK_CONNECTION" si src_ip et dest_ip sont tous les deux présents.
 : "USER_UNCATEGORIZED" si user_id est présent.
 : "GENERIC_EVENT" dans le cas contraire.
metadata.log_type Défini sur "AWS_SESSION_MANAGER".
metadata.product_name Définissez la valeur sur "AWS Session Manager".
metadata.vendor_name Défini sur "Amazon".
target.process.pid Extrait du message de journal à l'aide de la correspondance de modèles Grok.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.