Mengumpulkan log AWS Session Manager

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Session Manager ke Google Security Operations. AWS Session Manager memberikan akses yang aman dan dapat diaudit ke instance Amazon EC2 dan server lokal. Dengan mengintegrasikan lognya ke Google SecOps, Anda dapat meningkatkan postur keamanan dan melacak peristiwa akses jarak jauh.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengonfigurasi AWS IAM dan S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Cara mengonfigurasi AWS Session Manager untuk Menyimpan Log di S3

  1. Buka konsol AWS Systems Manager.
  2. Di panel navigasi, pilih Pengelola Sesi.
  3. Klik tab Preferensi.
  4. Klik Edit.
  5. Di bagian logging S3, centang kotak Enable.
  6. Hapus centang pada kotak Izinkan hanya bucket S3 terenkripsi.
  7. Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  8. Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  9. Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Session Manager Logs).
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih AWS Session Manager sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:

    • Region: Region tempat bucket Amazon S3 berada.
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
    • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.

    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Region: Region tempat bucket Amazon S3 berada.
  • URI S3: URI bucket.
    • s3://your-log-bucket-name/
      • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
  • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
  • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
  • ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.

  • Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
--cid metadata.description Bagian kolom deskripsi jika ada dalam log
--collector.filesystem.ignored-mount-points metadata.description Bagian kolom deskripsi jika ada dalam log
--collector.vmstat.fields metadata.description Bagian kolom deskripsi jika ada dalam log
--message-log metadata.description Bagian kolom deskripsi jika ada dalam log
--name metadata.description Bagian kolom deskripsi jika ada dalam log
--net metadata.description Bagian kolom deskripsi jika ada dalam log
--path.procfs metadata.description Bagian kolom deskripsi jika ada dalam log
--path.rootfs metadata.description Bagian kolom deskripsi jika ada dalam log
--path.sysfs metadata.description Bagian kolom deskripsi jika ada dalam log
-v /:/rootfs:ro metadata.description Bagian kolom deskripsi jika ada dalam log
-v /proc:/host/proc metadata.description Bagian kolom deskripsi jika ada dalam log
-v /sys:/host/sys metadata.description Bagian kolom deskripsi jika ada dalam log
CID metadata.description Bagian kolom deskripsi jika ada dalam log
ERROR security_result.severity Diekstrak dari pesan log menggunakan pencocokan pola grok.
falconctl metadata.description Bagian kolom deskripsi jika ada dalam log
ip-1-2-4-2 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
ip-1-2-8-6 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
java target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
Jun13 metadata.event_timestamp.seconds Bagian kolom stempel waktu jika ada dalam log, digabungkan dengan kolom month_date dan time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
root principal.user.userid Diekstrak dari pesan log menggunakan pencocokan pola grok.
metadata.event_type Ditentukan berdasarkan keberadaan dan nilai kolom lainnya:
- "STATUS_UPDATE" jika src_ip ada.
- "NETWORK_CONNECTION" jika src_ip dan dest_ip ada.
- "USER_UNCATEGORIZED" jika user_id ada.
- "GENERIC_EVENT" jika tidak.
metadata.log_type Tetapkan ke "AWS_SESSION_MANAGER".
metadata.product_name Tetapkan ke "AWS Session Manager".
metadata.vendor_name Tetapkan ke "Amazon".
target.process.pid Diekstrak dari pesan log menggunakan pencocokan pola grok.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.