Ingerir registros da AWS no Google Security Operations

Este documento detalha as etapas para configurar a ingestão de registros do AWS CloudTrail e dados de contexto no Google Security Operations. Essas etapas também se aplicam à ingestão de registros de outros serviços da AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Para ingerir logs de eventos, a configuração direciona os registros do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), opcionalmente usando um fila do Simple Queue Service (Amazon SQS). Se uma fila do Amazon SQS for usada, as operações de segurança do Google vão ler as notificações do Amazon S3 enviadas para a fila do Amazon SQS e extrair os arquivos correspondentes do bucket do Amazon S3. Isso é efetivamente uma versão baseada em push de um feed do Amazon S3 e pode ser usada para a capacidade de processamento.

A primeira parte deste documento apresenta etapas concisas para usar o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usar o Amazon S3 com o Amazon SQS como o feed tipo de origem. A segunda parte fornece etapas mais detalhadas com capturas de tela para usar o Amazon S3 como o tipo de origem do feed. O uso do Amazon SQS não é abordado na segunda parte. A terceira parte apresenta informações sobre como ingerir o contexto da AWS sobre hosts, serviços, redes VPC e usuários.

Etapas básicas para ingerir registros do S3 ou do S3 com o SQS

Esta seção descreve as etapas básicas para ingerir registros do AWS CloudTrail na instância do Google Security Operations. As etapas descrevem como fazer isso usando o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usando o Amazon S3 com o Amazon SQS como o tipo de origem do feed.

Configurar o AWS CloudTrail e o S3

Neste procedimento, você configura os registros do AWS CloudTrail para serem gravados em um bucket do S3.

1. No console da AWS, pesquise CloudTrail.
2. Clique em Criar trilha.
3. Forneça um Nome da trilha.
4. Selecione Criar novo bucket do S3. Você também pode usar um bucket do S3.
5. Informe um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
6. Deixe as outras configurações como padrão e clique em Próxima.
7. Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
8. Revise as configurações em Revisar e criar e clique em Criar trilha.
9. No console da AWS, pesquise buckets S3 do Amazon.
10. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.

Criar uma fila do SQS

Opcionalmente, você pode usar uma fila SQS. Se você usar uma fila SQS, ela precisará ser uma fila Padrão, não uma fila FIFO.

Para saber como criar filas do SQS, consulte Primeiros passos com o Amazon SQS.

Configurar notificações na fila do SQS

Se você usar uma fila do SQS, configure notificações no bucket do S3 para gravar na fila do SQS. Anexe uma política de acesso.

Configurar o usuário do AWS IAM

Configure um usuário do AWS IAM que o Google Security Operations vai usar para acessar a fila do SQS (se usada) e o bucket S3.

1. No console da AWS, pesquise IAM.
2. Clique em Usuários e, na tela seguinte, em Adicionar usuários.
3. Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso: acesso programático e clique em Próxima: Permissões.
4. Na próxima etapa, selecione Anexar políticas atuais diretamente e escolha AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess seria usado se as operações de segurança do Google precisassem limpar os buckets do S3 depois de ler os registros para otimizar os custos de armazenamento do S3 da AWS.
5. Como alternativa recomendada à etapa anterior, crie uma política personalizada para restringir ainda mais o acesso somente ao bucket do S3 especificado. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
6. Ao aplicar uma política, verifique se você incluiu sqs:DeleteMessage. O Google Security Operations não pode excluir mensagens se a permissão sqs:DeleteMessage não estiver anexada à fila do SQS. Todas as mensagens são acumuladas no lado da AWS, o que causa um atraso, já que as operações de segurança do Google tentam transferir os mesmos arquivos repetidamente.
7. Clique em Próximo:Tags.
8. Adicione tags, se necessário, e clique em Próxima: analisar.
9. Revise a configuração e clique em Criar usuário.
10. Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.

Criar o feed

Depois de concluir os procedimentos anteriores, crie um feed para ingerir os registros da AWS o bucket do Amazon S3 na sua instância do Google Security Operations. Se você estiver usando uma fila do SQS, selecione Amazon SQS como tipo de origem no procedimento a seguir, em vez de Amazon S3.

Para criar um feed:

1. Na barra de navegação, selecione Configurações > Configurações do SIEM e Feeds.
2. Na página Feeds, clique em Adicionar novo.
3. Na caixa de diálogo Adicionar feed, use a caixa de diálogo Tipo de origem para selecionar Amazon S3 ou Amazon SQS.
4. No menu Tipo de registro, selecione AWS CloudTrail (ou outro serviço da AWS).
5. Clique em Próxima.

6. Insira os parâmetros de entrada do seu feed nos campos.
   Se o tipo de origem for Amazon S3, faça o seguinte:

   1. Selecione a região e informe o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Também é possível anexar o URI do S3 usando a variável.

       {{datetime("yyyy/MM/dd")}}
       

      No exemplo a seguir, as operações de segurança do Google verificam os registros sempre apenas para um dia específico.

       s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
       

   2. Em URI IS A, selecione Directories including subdirectories. Selecionar uma opção adequada em Opção de exclusão de fonte. Verifique se ele corresponde às permissões da conta de usuário do IAM que você criou anteriormente.

   3. Forneça o ID da chave de acesso e a Chave de acesso secreta da conta de usuário do IAM que você criou anteriormente.

7. Clique em Próximo e em Concluir.

Etapas detalhadas para importar registros do S3

Configurar o AWS CloudTrail (ou outro serviço)

Siga as etapas abaixo para configurar os logs do AWS CloudTrail e direcioná-los para o bucket do AWS S3 criado no procedimento anterior:

1. No console da AWS, pesquise CloudTrail.

2. Clique em Criar trilha.

   

3. Informe o nome do percurso.

4. Selecione Criar novo bucket do S3. Você também pode usar um bucket do S3.

5. Dê um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.

   

6. Deixe as outras configurações como padrão e clique em Próxima.

7. Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.

   

8. Revise as configurações em Revisar e criar e clique em Criar trilha.

9. No console da AWS, pesquise Buckets do Amazon S3.

   

10. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.

    

Configurar usuário do IAM da AWS

Nesta etapa, vamos configurar um usuário do AWS IAM que o Google Security Operations vai usar para receber feeds de registro da AWS.

1. No console da AWS, pesquise IAM.

   

2. Clique em Usuários e, na tela seguinte, em Adicionar usuários.

   

3. Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso: acesso programático e clique em Próxima: Permissões.

   

4. Na próxima etapa, selecione Anexar políticas atuais diretamente e selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess será usado se o Google Security Operations quiser limpar os buckets do S3 após a leitura de registros para otimizar os custos de armazenamento do AWS S3. Clique em Próxima: tags.

   

5. Como alternativa recomendada à etapa anterior, crie uma política personalizada para restringir ainda mais o acesso somente ao bucket do S3 especificado. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.

   

6. Adicione as tags, se necessário, e clique em Próximo:revisão.

7. Revise a configuração e clique em Criar usuário.

   

8. Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado para usar na próxima etapa.

   

Configure o feed no Google Security Operations para ingerir registros da AWS

1. Acesse as configurações do Google Security Operations e clique em Feeds.
2. Clique em Adicionar novo.
3. Selecione Amazon S3 em Tipo de origem.
4. Selecione AWS CloudTrail (ou outro serviço da AWS) em Tipo de registro.

1. Clique em Próxima.

2. Selecione a região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, você pode anexar o URI do S3 com:

   
   {{datetime("yyyy/MM/dd")}}
   
   

   Como no exemplo a seguir, para que as Operações de segurança do Google verifiquem os registros a cada vez apenas para um dia específico:

   
   s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
   
   

3. Em O URI É A, selecione Diretórios incluindo subdiretórios. Selecione uma opção adequada em Source Deletion Option,que deve corresponder às permissões da conta IAM User que criamos anteriormente.

4. Forneça o ID da chave de acesso e a Chave de acesso secreta da conta do usuário do IAM que criamos anteriormente.

5. Clique em Next e Finish.

Etapas para ingerir dados de contexto da AWS

Para ingerir dados de contexto sobre entidades da AWS (como hosts, instâncias e usuários), crie um feed para cada um dos tipos de registro a seguir, listados por descrição e ingestão rótulo:

• AWS EC2 HOSTS (AWS_EC2_HOSTS)
• AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
• VPCs do AWS EC2 (AWS_EC2_VPCS)
• Identity and Access Management (IAM) da AWS (AWS_IAM)

Para criar um feed para cada tipo de registro listado acima, faça o seguinte:

1. Na barra de navegação, selecione Configurações, Configurações do SIEM e Feeds.
2. Na página Feeds, clique em Adicionar novo. A caixa de diálogo Adicionar feed será exibida.
3. No menu Tipo de origem, selecione API de terceiros.
4. No menu Tipo de registro, selecione AWS EC2 Hosts.
5. Clique em Próxima.
6. Insira os parâmetros de entrada do feed nos campos.
7. Clique em Próxima e em Concluir.

Para informações mais detalhadas sobre como configurar um feed para cada tipo de registro, consulte a seguinte documentação de gerenciamento de feeds:

• HOSTS EC2 da AWS (AWS_EC2_HOSTS)
• INSTÂNCIAS DO AWS EC2 (AWS_EC2_INSTANCES)
• AWS EC2 VPCs (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

Para obter informações gerais sobre como criar um feed, consulte Guia do usuário sobre gerenciamento de feed ou API de gerenciamento de feed.