Collecter les journaux AWS GuardDuty

Ce document explique comment collecter les journaux AWS GuardDuty en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion GUARDDUTY.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Le bucket AWS S3 est créé. Pour créer le bucket AWS S3, consultez Créer votre premier bucket S3.
• La clé KMS est créée. Pour créer la clé KMS, consultez Créer des clés KMS asymétriques.
• AWS GuardDuty est autorisé à accéder à la clé KMS. Pour accorder l'accès à la clé KMS, consultez Exporter les résultats. GuardDuty chiffre les données des résultats dans votre bucket à l'aide d'une clé AWS KMS.

Configurer AWS GuardDuty

Pour configurer AWS GuardDuty :

1. Connectez-vous à la console AWS.
2. Recherchez GuardDuty.
3. Sélectionnez Paramètres.

4. Dans la section Trouver l'option d'exportation, procédez comme suit :

   1. Dans la liste Fréquence de mise à jour des résultats, sélectionnez Mettre à jour CWE et S3 toutes les 15 minutes. La sélection de la fréquence concerne les résultats mis à jour. Les nouveaux résultats sont exportés cinq minutes après leur création.
   2. Dans la section Bucket S3, sélectionnez le bucket S3 dans lequel vous souhaitez exporter les résultats GuardDuty.
   3. Dans la section Préfixe du fichier journal, indiquez le préfixe du fichier journal.
   4. Dans la section Chiffrement KMS, sélectionnez le chiffrement KMS.
   5. Dans la liste Alias de clé, sélectionnez la clé.
   6. Cliquez sur Enregistrer.

5. Une fois les fichiers journaux stockés dans le bucket S3, créez une file d'attente SQS et associez-la au bucket S3.

Exemple de règlement KMS

Voici un exemple de stratégie KMS :

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Remplacez les éléments suivants :

• AWS_REGION : région choisie.
• KEY_ARN : nom de ressource Amazon (ARN) de la clé KMS.

Vérifiez les stratégies IAM requises pour les utilisateurs et les clés KMS pour S3, SQS et KMS.

En fonction du service et de la région, identifiez les points de terminaison pour la connectivité en vous référant à la documentation AWS suivante :

• Pour en savoir plus sur les sources de journaux, consultez Points de terminaison et quotas AWS Identity and Access Management.
• Pour en savoir plus sur les sources de journaux S3, consultez Points de terminaison et quotas Amazon Simple Storage Service.
• Pour en savoir plus sur les sources de journaux SQS, consultez Points de terminaison et quotas Amazon Simple Queue Service.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

• Paramètres SIEM> Flux
• Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

1. Accédez à Paramètres SIEM > Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux.
4. Saisissez un nom unique pour le nom du flux.
5. Sélectionnez Amazon S3 ou Amazon SQS comme Type de source.
6. Sélectionnez AWS GuardDuty comme Type de journal.
7. Cliquez sur Suivant, puis sur Envoyer.
8. Google Security Operations permet de collecter des journaux à l'aide d'un ID de clé d'accès et d'une méthode secrète. Pour créer l'ID de clé d'accès et le secret, consultez Configurer l'authentification de l'outil avec AWS.

9. En fonction de la configuration AWS GuardDuty que vous avez créée, spécifiez des valeurs pour les champs suivants.

   1. Si vous utilisez Amazon S3
   • Région
   • URI S3
   • L'URI est un
   • Option de suppression de la source
   2. Si vous utilisez Amazon SQS
   • Région
   • Nom de la file d'attente
   • Numéro de compte
   • ID de clé d'accès à la file d'attente
   • Clé d'accès secrète de la file d'attente
   • Option de suppression de la source

10. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

• Si vous utilisez Amazon S3 :

  • Région
  • URI S3
  • L'URI est un
  • Option de suppression de la source

• Si vous utilisez Amazon SQS :

  • Région
  • Nom de la file d'attente
  • Numéro de compte
  • ID de clé d'accès à la file d'attente
  • Clé d'accès secrète de la file d'attente
  • Option de suppression de la source

Options avancées

• Nom du flux : valeur préremplie qui identifie le flux.
• Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
• Espace de noms de l'élément : espace de noms associé au flux.
• Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Référence du mappage de champs

Ce code d'analyseur traite les résultats AWS GuardDuty au format JSON, en extrayant les champs pertinents et en les mappant à un modèle de données unifié (UDM). Il effectue des transformations de données, y compris des remplacements de chaînes, des fusions de tableaux et des conversions de types de données, pour créer une représentation structurée de l'événement de sécurité à des fins d'analyse et de corrélation.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.