Coletar registros do AWS Session Manager
Este documento explica como ingerir registros do AWS Session Manager no Google Security Operations. O AWS Session Manager oferece acesso seguro e auditável a instâncias do Amazon EC2 e servidores locais. Ao integrar os registros ao Google SecOps, você melhora sua postura de segurança e rastreia eventos de acesso remoto.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado à AWS
Configurar o AWS IAM e o S3
- Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
- Salve o Nome e a Região do bucket para uso posterior.
- Crie um usuário seguindo este guia: Como criar um usuário do IAM.
- Selecione o usuário criado.
- Selecione a guia Credenciais de segurança.
- Clique em Criar chave de acesso na seção Chaves de acesso.
- Selecione Serviço de terceiros como o Caso de uso.
- Clique em Próxima.
- Opcional: adicione uma tag de descrição.
- Clique em Criar chave de acesso.
- Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
- Clique em Concluído.
- Selecione a guia Permissões.
- Clique em Adicionar permissões na seção Políticas de permissões.
- Selecione Adicionar permissões.
- Selecione Anexar políticas diretamente.
- Pesquise e selecione a política AmazonS3FullAccess.
- Clique em Próxima.
- Clique em Adicionar permissões
Como configurar o AWS Session Manager para salvar registros no S3
- Acesse o console do AWS Systems Manager.
- No painel de navegação, selecione Gerenciador de sessões.
- Clique na guia Preferências.
- Clique em Editar.
- Em "Registro do S3", marque a caixa de seleção Ativar.
- Desmarque a caixa de seleção Permitir apenas buckets criptografados do S3.
- Selecione um bucket do Amazon S3 já criado na sua conta para armazenar dados de registro de sessão.
- Insira o nome de um bucket do Amazon S3 já criado na sua conta para armazenar dados de registros de sessão.
- Clique em Salvar.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em Configurações do SIEM > Feeds
Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Para configurar um único feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do AWS Session Manager).
- Selecione Amazon S3 como o Tipo de origem.
- Selecione AWS Session Manager como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3://your-log-bucket-name/- Substitua
your-log-bucket-namepelo nome real do seu bucket do S3.
- Substitua
- URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.
Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3://your-log-bucket-name/- Substitua
your-log-bucket-namepelo nome real do seu bucket do S3.
- Substitua
- URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
--cid |
metadata.description | Parte do campo de descrição quando presente no registro |
--collector.filesystem.ignored-mount-points |
metadata.description | Parte do campo de descrição quando presente no registro |
--collector.vmstat.fields |
metadata.description | Parte do campo de descrição quando presente no registro |
--message-log |
metadata.description | Parte do campo de descrição quando presente no registro |
--name |
metadata.description | Parte do campo de descrição quando presente no registro |
--net |
metadata.description | Parte do campo de descrição quando presente no registro |
--path.procfs |
metadata.description | Parte do campo de descrição quando presente no registro |
--path.rootfs |
metadata.description | Parte do campo de descrição quando presente no registro |
--path.sysfs |
metadata.description | Parte do campo de descrição quando presente no registro |
-v /:/rootfs:ro |
metadata.description | Parte do campo de descrição quando presente no registro |
-v /proc:/host/proc |
metadata.description | Parte do campo de descrição quando presente no registro |
-v /sys:/host/sys |
metadata.description | Parte do campo de descrição quando presente no registro |
CID |
metadata.description | Parte do campo de descrição quando presente no registro |
ERROR |
security_result.severity | Extraído da mensagem de registro usando a correspondência de padrões grok. |
falconctl |
metadata.description | Parte do campo de descrição quando presente no registro |
ip-1-2-4-2 |
principal.ip | Extraído da mensagem de registro usando a correspondência de padrões grok e convertido para um formato de endereço IP padrão. |
ip-1-2-8-6 |
principal.ip | Extraído da mensagem de registro usando a correspondência de padrões grok e convertido para um formato de endereço IP padrão. |
java |
target.process.command_line | Extraído da mensagem de registro usando a correspondência de padrões grok. |
Jun13 |
metadata.event_timestamp.seconds | Parte do campo de carimbo de data/hora quando presente no registro, combinada com os campos "month_date" e "time_stamp". |
[kworker/u16:8-kverityd] |
target.process.command_line | Extraído da mensagem de registro usando a correspondência de padrões grok. |
root |
principal.user.userid | Extraído da mensagem de registro usando a correspondência de padrões grok. |
| metadata.event_type | Determinado com base na presença e nos valores de outros campos: - "STATUS_UPDATE" se src_ip estiver presente. : "NETWORK_CONNECTION" se src_ip e dest_ip estiverem presentes. : "USER_UNCATEGORIZED" se user_id estiver presente. - "GENERIC_EVENT" caso contrário. |
|
| metadata.log_type | Defina como "AWS_SESSION_MANAGER". | |
| metadata.product_name | Definido como "AWS Session Manager". | |
| metadata.vendor_name | Defina como "Amazon". | |
| target.process.pid | Extraído da mensagem de registro usando a correspondência de padrões grok. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.