Verbindung zu AWS für die Erfassung von Protokolldaten herstellen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Die von Security Command Center ausgewählten Erkennungen, Bedrohungsuntersuchungen und CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Amazon Web Services (AWS) erfordern die Aufnahme von AWS-Logs über die Aufnahmepipeline der Security Operations Console. Die für die Aufnahme erforderlichen AWS-Logtypen unterscheiden sich je nach Konfiguration:

• Für CIEM sind Daten vom AWS CloudTrail-Logtyp erforderlich.
• Für ausgewählte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.

Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Logtypen.

AWS-Logaufnahme für CIEM konfigurieren

Um Ergebnisse für Ihre AWS-Umgebung zu generieren, benötigen die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) Daten aus AWS CloudTrail-Logs.

Wenn Sie CIEM verwenden möchten, gehen Sie so vor, wenn Sie die AWS-Logaufnahme konfigurieren:

1. Führen Sie bei der Einrichtung von AWS CloudTrail die folgenden Konfigurationsschritte aus:

   1. Erstellen Sie eine der folgenden Ressourcen:

      • Ein Pfad auf Organisationsebene, der Protokolldaten aus allen AWS-Konten abruft.

      • Ein Verlauf auf Kontoebene, aus dem Protokolldaten aus ausgewählten AWS-Konten abgerufen werden.

   2. Legen Sie für den von Ihnen für CIEM ausgewählten Amazon S3-Bucket oder die ausgewählte Amazon SQS-Queue fest, dass Verwaltungsereignisse aus allen Regionen protokolliert werden sollen.

2. Führen Sie die folgenden Konfigurationsschritte aus, um einen Feed einzurichten, über den AWS-Logs in der Security Operations Console aufgenommen werden:

   1. Erstellen Sie einen Feed, in dem alle Kontoprotokolle aus dem Amazon S3-Bucket oder der Amazon SQS-Warteschlange für alle Regionen aufgenommen werden.

   2. Legen Sie das Schlüssel/Wert-Paar Aufnahmelabels des Feeds basierend auf dem Feedquellentyp mit einer der folgenden Optionen fest:

      • Wenn Amazon S3 als Quelltyp festgelegt ist, konfigurieren Sie einen der folgenden Punkte:

        • Wenn Sie Daten alle 15 Minuten extrahieren möchten, setzen Sie Label auf CIEM und Wert auf TRUE. Sie können diesen Feed für andere Security Command Center-Dienste wiederverwenden, bei denen eine Datenlatenz von 15 Minuten akzeptabel ist.
        • Wenn Sie Daten alle 12 Stunden extrahieren möchten, setzen Sie Label auf CIEM_EXCLUSIVE und Wert auf TRUE. Diese Option funktioniert für CIEM und andere potenzielle Security Command Center-Dienste, bei denen eine Datenlatenz von 24 Stunden akzeptabel ist.

      • Wenn der Quelltyp Amazon SQS ist, setzen Sie Label auf CIEM und Wert auf TRUE.

Wenn Sie die Protokollaufnahme nicht richtig konfigurieren, werden vom CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse angezeigt. Wenn Probleme mit Ihrer CloudTrail-Konfiguration auftreten, wird in Security Command Center außerdem das Symbol CIEM AWS CloudTrail configuration error angezeigt.

Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.

Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Funktionen finden Sie unter Cloud Infrastructure Entitlement Management.

AWS-Logaufnahme für ausgewählte Erkennungen konfigurieren

Mit den ausgewählten Erkennungen, die mit Security Command Center Enterprise verfügbar sind, können Sie Bedrohungen in AWS-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.

Für jeden AWS-Regelnsatz sind bestimmte Daten erforderlich, um wie vorgesehen zu funktionieren. Dazu gehören mindestens eine der folgenden Quellen:

• AWS CloudTrail
• AWS GuardDuty
• AWS-Kontextdaten zu Hosts, Diensten und VPCs.
• AWS Identity and Access Management

Wenn Sie diese ausgewählten Erkennungen verwenden möchten, müssen Sie AWS-Protokolldaten in den Google SecOps-Tenant aufnehmen und dann die ausgewählten Erkennungsregeln aktivieren.

Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter den folgenden Links:

• Unterstützte Geräte und Protokolltypen für AWS: Informationen zu den von den AWS-Regeln erforderlichen Daten.

• AWS-Logs in Google Security Operations aufnehmen: Schritte zum Erfassen von AWS CloudTrail-Logs.

• Ausgewählte Erkennungen für AWS-Daten: Zusammenfassung der AWS-Regeln in den ausgewählten Erkennungen für Cloud-Bedrohungen.

• Kuratierte Erkennungen zur Identifizierung von Bedrohungen verwenden: Informationen zur Verwendung kuratierter Erkennungen in Google SecOps.

Informationen zu den Arten von Protokolldaten, die Kunden mit Security Command Center Enterprise in den Google SecOps-Tenant aufnehmen können, finden Sie unter Google Cloud Dienststufen.