收集 AWS Session Manager 記錄

支援的國家/地區:

本文說明如何將 AWS Session Manager 記錄擷取至 Google Security Operations。AWS Session Manager 可安全地存取 Amazon EC2 執行個體和內部部署伺服器,並提供稽核功能。將記錄檔整合至 Google SecOps 後,您就能提升安全防護機制,並追蹤遠端存取事件。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 AWS IAM 和 S3

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 請儲存 bucket 的「名稱」和「區域」,以供後續使用。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「權限政策」部分,按一下「新增權限」
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「新增權限」

如何設定 AWS Session Manager,將記錄檔儲存至 S3

  1. 前往 AWS Systems Manager 主控台
  2. 在導覽窗格中,選取「Session Manager」
  3. 按一下「偏好設定」分頁標籤。
  4. 按一下 [編輯]
  5. 在「S3 logging」(S3 記錄) 下方,勾選「Enable」(啟用) 核取方塊。
  6. 取消勾選「僅允許加密的 S3 值區」核取方塊。
  7. 選取帳戶中已建立的 Amazon S3 值區,用來儲存工作階段記錄資料。
  8. 輸入已在帳戶中建立的 Amazon S3 bucket 名稱,用來儲存工作階段記錄資料。
  9. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「AWS Session Manager Logs」)。
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取「AWS Session Manager」做為「記錄類型」。
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
    • URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

    • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 值區所在的區域。
  • S3 URI:bucket URI。
    • s3://your-log-bucket-name/
      • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
  • URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)
  • 來源刪除選項:根據擷取偏好設定選取刪除選項。

  • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

  • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
--cid metadata.description 記錄中顯示的說明欄位部分內容
--collector.filesystem.ignored-mount-points metadata.description 記錄中顯示的說明欄位部分內容
--collector.vmstat.fields metadata.description 記錄中顯示的說明欄位部分內容
--message-log metadata.description 記錄中顯示的說明欄位部分內容
--name metadata.description 記錄中顯示的說明欄位部分內容
--net metadata.description 記錄中顯示的說明欄位部分內容
--path.procfs metadata.description 記錄中顯示的說明欄位部分內容
--path.rootfs metadata.description 記錄中顯示的說明欄位部分內容
--path.sysfs metadata.description 記錄中顯示的說明欄位部分內容
-v /:/rootfs:ro metadata.description 記錄中顯示的說明欄位部分內容
-v /proc:/host/proc metadata.description 記錄中顯示的說明欄位部分內容
-v /sys:/host/sys metadata.description 記錄中顯示的說明欄位部分內容
CID metadata.description 記錄中顯示的說明欄位部分內容
ERROR security_result.severity 使用 grok 模式比對從記錄訊息中擷取。
falconctl metadata.description 記錄中顯示的說明欄位部分內容
ip-1-2-4-2 principal.ip 使用 grok 模式比對從記錄檔訊息中擷取,並轉換為標準 IP 位址格式。
ip-1-2-8-6 principal.ip 使用 grok 模式比對從記錄檔訊息中擷取,並轉換為標準 IP 位址格式。
java target.process.command_line 使用 grok 模式比對從記錄訊息中擷取。
Jun13 metadata.event_timestamp.seconds 記錄檔中的時間戳記欄位部分,與 month_date 和 time_stamp 欄位合併。
[kworker/u16:8-kverityd] target.process.command_line 使用 grok 模式比對從記錄訊息中擷取。
root principal.user.userid 使用 grok 模式比對從記錄訊息中擷取。
metadata.event_type 根據其他欄位的存在和值判斷:
- 如果有 src_ip,則為「STATUS_UPDATE」。
- 如果 src_ip 和 dest_ip 都存在,則為「NETWORK_CONNECTION」。
- 如果有 user_id,則為「USER_UNCATEGORIZED」。
- 否則為「GENERIC_EVENT」。
metadata.log_type 設為「AWS_SESSION_MANAGER」。
metadata.product_name 設為「AWS Session Manager」。
metadata.vendor_name 設為「Amazon」。
target.process.pid 使用 grok 模式比對從記錄訊息中擷取。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。