Coletar registros do AWS GuardDuty

Neste documento, descrevemos como coletar registros do AWS GuardDuty configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão GUARDDUTY.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

• O bucket do AWS S3 é criado. Para criar o bucket do AWS S3, consulte Criar seu primeiro bucket do S3.
• A chave do KMS é criada. Para criar a chave do KMS, consulte Como criar chaves assimétricas do KMS.
• O AWS GuardDuty tem permissão para acessar a chave do KMS. Para conceder acesso à chave do KMS, consulte Exportar descobertas. O GuardDuty criptografa os dados de descobertas no seu bucket usando uma chave do AWS KMS.

Configurar o AWS GuardDuty

Para configurar o AWS GuardDuty, faça o seguinte:

1. Faça login no console da AWS.
2. Pesquise GuardDuty.
3. Selecione Configurações.

4. Na seção Como encontrar a opção de exportação, faça o seguinte:

   1. Na lista Frequência para descobertas atualizadas, selecione Atualizar CWE e S3 a cada 15 minutos. A seleção de frequência é para as descobertas atualizadas. As novas descobertas são exportadas cinco minutos após a criação.
   2. Na seção Bucket do S3, selecione o bucket em que você quer exportar as descobertas do GuardDuty.
   3. Na seção Prefixo do arquivo de registro, informe o prefixo do arquivo de registro.
   4. Na seção Criptografia do KMS, selecione a criptografia do KMS.
   5. Na lista Alias da chave, selecione a chave.
   6. Clique em Salvar.

5. Depois que os arquivos de registro forem armazenados no bucket do S3, crie uma fila do SQS e anexe-a ao bucket do S3.

Exemplo de política do KMS

Confira um exemplo de política do KMS:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Substitua:

• AWS_REGION: a região escolhida.
• KEY_ARN: o nome de recurso da Amazon (ARN) da chave do KMS.

Verifique as políticas necessárias de usuário do IAM e de chave do KMS para S3, SQS e KMS.

Com base no serviço e na região, identifique os endpoints de conectividade consultando a seguinte documentação da AWS:

• Para informações sobre fontes de geração de registros, consulte Endpoints e cotas do AWS Identity and Access Management.
• Para informações sobre fontes de geração de registros do S3, consulte Endpoints e cotas do Amazon Simple Storage Service.
• Para informações sobre fontes de geração de registros do SQS, consulte Endpoints e cotas do Amazon Simple Queue Service.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds
• Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. Insira um nome exclusivo para o Nome do feed.
5. Selecione Amazon S3 ou Amazon SQS como o Tipo de origem.
6. Selecione AWS GuardDuty como o Tipo de registro.
7. Clique em Próxima e em Enviar.
8. O Google Security Operations oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.

9. Com base na configuração do AWS GuardDuty que você criou, especifique valores para os seguintes campos:

   1. Se você estiver usando o Amazon S3
   • Região
   • URI do S3
   • URI é um
   • Opção de exclusão da origem
   2. Se estiver usando o Amazon SQS
   • Região
   • Nome da fila
   • Número da conta
   • ID da chave de acesso à fila
   • Chave de acesso secreta da fila
   • Opção de exclusão da origem

10. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

• Se você estiver usando o Amazon S3:

  • Região
  • URI do S3
  • URI é um
  • Opção de exclusão da origem

• Se você estiver usando o Amazon SQS:

  • Região
  • Nome da fila
  • Número da conta
  • ID da chave de acesso à fila
  • Chave de acesso secreta da fila
  • Opção de exclusão da origem

Opções avançadas

• Nome do feed: um valor pré-preenchido que identifica o feed.
• Tipo de origem: método usado para coletar registros no Google SecOps.
• Namespace do recurso: namespace associado ao feed.
• Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Referência de mapeamento de campos

Esse código do analisador processa descobertas do AWS GuardDuty no formato JSON, extraindo campos relevantes e mapeando-os para um modelo de dados unificado (UDM). Ela realiza transformações de dados, incluindo substituições de strings, fusão de matrizes e conversão de tipos de dados, para criar uma representação estruturada do ocorrência de segurança para análise e correlação.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.