Die von Security Command Center ausgewählten Erkennungen, Bedrohungsuntersuchungen und CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs über die Aufnahmepipeline der Security Operations Console. Die für die Datenaufnahme erforderlichen AWS-Logtypen unterscheiden sich je nach Konfiguration:
- Für CIEM sind Daten vom AWS CloudTrail-Logtyp erforderlich.
- Für ausgewählte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.
Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Logtypen.
Ausgewählte Erkennungen
Für ausgewählte Erkennungen sind für jeden AWS-Regelnsatz bestimmte Daten erforderlich, um wie vorgesehen zu funktionieren. Dazu gehören mindestens eine der folgenden Datenquellen:
- AWS CloudTrail-Logs
- AWS GuardDuty
- AWS-Kontextdaten zu Hosts, Diensten, VPCs und Nutzern
Wenn Sie diese ausgewählten Erkennungen verwenden möchten, müssen Sie AWS-Daten in Google Security Operations aufnehmen und dann die Regeln für die ausgewählten Erkennungen aktivieren. Informationen zum Konfigurieren der Datenaufnahme von AWS finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen. Informationen zum Aktivieren von ausgewählten Erkennungsregeln finden Sie in der Google SecOps-Dokumentation unter Ausgewählte Erkennungen zur Identifizierung von Bedrohungen verwenden.
AWS-Logaufnahme für CIEM konfigurieren
Um Ergebnisse für Ihre AWS-Umgebung zu generieren, benötigen die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) Daten aus AWS CloudTrail-Logs.
Wenn Sie CIEM verwenden möchten, gehen Sie so vor, wenn Sie die AWS-Protokollaufnahme konfigurieren:
Führen Sie bei der Einrichtung von AWS CloudTrail die folgenden Konfigurationsschritte aus:
- Erstellen Sie einen Pfad auf Organisationsebene, der Protokolldaten aus allen AWS-Konten in Ihrer Umgebung abruft.
- Legen Sie für den von Ihnen für CIEM ausgewählten S3-Bucket fest, dass Datenereignisse und Verwaltungsereignisse aus allen Regionen protokolliert werden. Wählen Sie außerdem alle relevanten Dienste aus, von denen Sie Datenereignisse aufnehmen möchten. Ohne diese Ereignisdaten kann CIEM keine genauen Ergebnisse für AWS generieren.
Führen Sie die folgenden Konfigurationsschritte aus, um einen Feed einzurichten, über den AWS-Logs in der Security Operations Console aufgenommen werden:
- Erstellen Sie einen Feed, in dem alle Kontoprotokolle aus dem S3-Bucket für alle Regionen aufgenommen werden.
- Legen Sie für das Schlüssel/Wert-Paar Aufnahmelabel des Feeds die Werte
CIEM
undTRUE
fest.
Wenn Sie die Protokollaufnahme nicht richtig konfigurieren, zeigt der CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse an. Wenn Probleme mit Ihrer CloudTrail-Konfiguration auftreten, wird in Security Command Center außerdem das Symbol CIEM AWS CloudTrail configuration error
angezeigt.
Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.
Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Funktionen finden Sie unter Cloud Infrastructure Entitlement Management.