Mengumpulkan log AWS Session Manager
Dokumen ini menjelaskan cara menyerap log AWS Session Manager ke Google Security Operations. AWS Session Manager memberikan akses yang aman dan dapat diaudit ke instance Amazon EC2 dan server lokal. Dengan mengintegrasikan lognya ke Google SecOps, Anda dapat meningkatkan postur keamanan dan melacak peristiwa akses jarak jauh.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
Mengonfigurasi AWS IAM dan S3
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Simpan Nama dan Region bucket untuk digunakan nanti.
- Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
- Klik Selesai.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung.
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Tambahkan izin.
Cara mengonfigurasi AWS Session Manager untuk Menyimpan Log di S3
- Buka konsol AWS Systems Manager.
- Di panel navigasi, pilih Pengelola Sesi.
- Klik tab Preferensi.
- Klik Edit.
- Di bagian logging S3, centang kotak Enable.
- Hapus centang pada kotak Izinkan hanya bucket S3 terenkripsi.
- Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
- Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
- Klik Simpan.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Session Manager Logs).
- Pilih Amazon S3 sebagai Jenis sumber.
- Pilih AWS Session Manager sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
s3://your-log-bucket-name/
- Ganti
your-log-bucket-name
dengan nama sebenarnya bucket S3 Anda.
- Ganti
- URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Menyiapkan feed dari Hub Konten
Tentukan nilai untuk kolom berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
s3://your-log-bucket-name/
- Ganti
your-log-bucket-name
dengan nama sebenarnya bucket S3 Anda.
- Ganti
- URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
--cid |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--collector.filesystem.ignored-mount-points |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--collector.vmstat.fields |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--message-log |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--name |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--net |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--path.procfs |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--path.rootfs |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
--path.sysfs |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
-v /:/rootfs:ro |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
-v /proc:/host/proc |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
-v /sys:/host/sys |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
CID |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
ERROR |
security_result.severity | Diekstrak dari pesan log menggunakan pencocokan pola grok. |
falconctl |
metadata.description | Bagian kolom deskripsi jika ada dalam log |
ip-1-2-4-2 |
principal.ip | Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar. |
ip-1-2-8-6 |
principal.ip | Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar. |
java |
target.process.command_line | Diekstrak dari pesan log menggunakan pencocokan pola grok. |
Jun13 |
metadata.event_timestamp.seconds | Bagian kolom stempel waktu jika ada dalam log, digabungkan dengan kolom month_date dan time_stamp. |
[kworker/u16:8-kverityd] |
target.process.command_line | Diekstrak dari pesan log menggunakan pencocokan pola grok. |
root |
principal.user.userid | Diekstrak dari pesan log menggunakan pencocokan pola grok. |
metadata.event_type | Ditentukan berdasarkan keberadaan dan nilai kolom lainnya: - "STATUS_UPDATE" jika src_ip ada. - "NETWORK_CONNECTION" jika src_ip dan dest_ip ada. - "USER_UNCATEGORIZED" jika user_id ada. - "GENERIC_EVENT" jika tidak. |
|
metadata.log_type | Tetapkan ke "AWS_SESSION_MANAGER". | |
metadata.product_name | Tetapkan ke "AWS Session Manager". | |
metadata.vendor_name | Tetapkan ke "Amazon". | |
target.process.pid | Diekstrak dari pesan log menggunakan pencocokan pola grok. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.