Für die von Security Command Center kuratierten Erkennungen, die Untersuchung von Bedrohungen und die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) für Amazon Web Services (AWS) müssen AWS-Logs über die Google SecOps-Aufnahmepipeline aufgenommen werden. Die für die Aufnahme erforderlichen AWS-Logtypen hängen davon ab, was Sie konfigurieren:
- Für CIEM sind Daten aus dem AWS CloudTrail-Logtyp erforderlich.
- Für kuratierte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.
Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Logtypen.
AWS-Logaufnahme für CIEM konfigurieren
Um Ergebnisse für Ihre AWS-Umgebung zu generieren, sind für die CIEM-Funktionen (Cloud Infrastructure Entitlement Management) Daten aus AWS CloudTrail-Logs erforderlich.
Wenn Sie CIEM verwenden möchten, gehen Sie bei der Konfiguration der AWS-Logaufnahme so vor:
Führen Sie bei der Einrichtung von AWS CloudTrail die folgenden Konfigurationsschritte aus:
Erstellen Sie eines der folgenden Elemente:
- Ein Trail auf Organisationsebene, der Protokolldaten aus allen AWS-Konten abruft.
Ein Trail auf Kontoebene, der Protokolldaten aus ausgewählten AWS-Konten abruft.
Legen Sie für den Amazon S3-Bucket oder die Amazon SQS-Warteschlange, die Sie für CIEM auswählen, fest, dass Verwaltungsereignisse aus allen Regionen protokolliert werden.
Wenn Sie einen Feed zum Erfassen von AWS-Logs über die Seite Feeds in der Security Operations Console einrichten, führen Sie die folgenden Konfigurationsschritte aus:
- Erstellen Sie einen Feed, mit dem alle Kontologs aus dem Amazon S3-Bucket oder der Amazon SQS-Warteschlange für alle Regionen aufgenommen werden.
Legen Sie das Schlüssel/Wert-Paar Ingestion labels (Aufnahmelabels) basierend auf dem Feedquellentyp mit einer der folgenden Optionen fest:
Wenn der Quelltyp Amazon S3 ist, konfigurieren Sie eine der folgenden Optionen:
- Wenn Sie Daten alle 15 Minuten extrahieren möchten, legen Sie das Label auf
CIEMund den Wert aufTRUEfest. Sie können diesen Feed für andere Security Command Center-Dienste wiederverwenden, bei denen eine Datenlatenz von 15 Minuten akzeptabel ist. - Wenn Sie Daten alle 12 Stunden extrahieren möchten, legen Sie das Label auf
CIEM_EXCLUSIVEund den Wert aufTRUEfest. Diese Option eignet sich für CIEM und andere potenzielle Security Command Center-Dienste, bei denen eine Datenlatenz von 24 Stunden akzeptabel ist.
- Wenn Sie Daten alle 15 Minuten extrahieren möchten, legen Sie das Label auf
Wenn der Quelltyp Amazon SQS ist, setzen Sie das Label auf
CIEMund den Wert aufTRUE.
Wenn Sie die Protokollaufnahme nicht richtig konfigurieren, werden im CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse angezeigt. Wenn Probleme mit Ihrer CloudTrail-Konfiguration auftreten, wird in Security Command Center außerdem das CIEM AWS CloudTrail configuration error angezeigt.
Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.
Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Funktionen finden Sie unter Cloud Infrastructure Entitlement Management – Übersicht.
AWS-Logaufnahme für kuratierte Erkennungen konfigurieren
Mit den kuratierten Erkennungen, die mit Security Command Center Enterprise verfügbar sind, lassen sich Bedrohungen in AWS-Umgebungen anhand von Ereignis- und Kontextdaten erkennen.
Für jedes AWS-Regelset sind bestimmte Daten erforderlich, damit es wie vorgesehen funktioniert. Dazu gehören eine oder mehrere der folgenden Quellen:
- AWS CloudTrail
- AWS GuardDuty
- AWS-Kontextdaten zu Hosts, Diensten und VPCs.
- AWS Identity and Access Management
Wenn Sie diese kuratierten Erkennungen verwenden möchten, müssen Sie AWS-Logdaten in den Google SecOps-Mandanten aufnehmen und dann die kuratierten Erkennungsregeln aktivieren.
Weitere Informationen finden Sie in der Google SecOps-Dokumentation:
Unterstützte Geräte und Logtypen für AWS: Informationen zu den Daten, die von den AWS-Regelsätzen benötigt werden.
AWS-Logs in Google Security Operations aufnehmen: Schritte zum Erfassen von AWS CloudTrail-Logs.
Kuratierte Erkennungen für AWS-Daten: Zusammenfassung der AWS-Regelsätze in den kuratierten Erkennungen für Cloud-Bedrohungen.
Kuratierte Erkennungen zum Identifizieren von Bedrohungen verwenden: Hier erfahren Sie, wie Sie kuratierte Erkennungen in Google SecOps verwenden.
Informationen zu den Arten von Protokolldaten, die Kunden mit Security Command Center Enterprise in den Google SecOps-Mandanten aufnehmen können, finden Sie unter Google Cloud -Dienststufen.