Cómo conectarse a AWS para la recopilación de datos de registro

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Las detecciones seleccionadas, la investigación de amenazas y las funciones de administración de derechos de infraestructura de nube (CIEM) de Security Command Center para Amazon Web Services (AWS) requieren la transferencia de registros de AWS a través de la canalización de transferencia de la consola de operaciones de seguridad. Los tipos de registros de AWS necesarios para la transferencia difieren según lo que configures:

• CIEM requiere datos del tipo de registro de AWS CloudTrail.
• Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.

Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Tipos de registros y dispositivos compatibles.

Configura la transferencia de registros de AWS para CIEM

Para generar conclusiones para tu entorno de AWS, las funciones de administración de derechos de infraestructura de nube (CIEM) requieren datos de los registros de AWS CloudTrail.

Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.

1. Cuando configures AWS CloudTrail, completa los siguientes pasos de configuración:

   1. Crea una de las siguientes opciones:

      • Un seguimiento a nivel de la organización que extrae datos de registros de todas las cuentas de AWS.

      • Es un registro a nivel de la cuenta que extrae datos de registro de cuentas de AWS seleccionadas.

   2. Establece el bucket de Amazon S3 o la cola de Amazon SQS que elijas para que CIEM registre los eventos de administración de todas las regiones.

2. Cuando configures un feed para transferir registros de AWS en la consola de Security Operations, completa los siguientes pasos de configuración:

   1. Crea un feed que transfiera todos los registros de la cuenta del bucket de Amazon S3 o la fila de Amazon SQS para todas las regiones.

   2. Establece el par clave-valor Etiquetas de transferencia del feed según el tipo de fuente del feed con una de las siguientes opciones:

      • Si el Tipo de fuente es Amazon S3, configura una de las siguientes opciones:

        • Para extraer datos cada 15 minutos, establece Etiqueta en CIEM y Valor en TRUE. Puedes volver a usar este feed para otros servicios de Security Command Center en los que se acepte una latencia de datos de 15 minutos.
        • Para extraer datos cada 12 horas, configura Etiqueta como CIEM_EXCLUSIVE y Valor como TRUE. Esta opción funciona para CIEM y otros posibles servicios de Security Command Center en los que se acepta una latencia de datos de 24 horas.

      • Si el Tipo de fuente es Amazon SQS, establece Etiqueta en CIEM y Valor en TRUE.

Si no configuras la transferencia de registros correctamente, es posible que el servicio de detección de CIEM muestre resultados incorrectos. Además, si hay problemas con la configuración de CloudTrail, Security Command Center muestra la CIEM AWS CloudTrail configuration error.

Para configurar la transferencia de registros, consulta Cómo transferir registros de AWS a Google Security Operations en la documentación de Google SecOps.

Si deseas obtener instrucciones completas para habilitar la CIEM, consulta Habilita el servicio de detección de CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de la Administración de derechos de la infraestructura de nube.

Configura la transferencia de registros de AWS para las detecciones seleccionadas

Las detecciones seleccionadas disponibles con Security Command Center Enterprise ayudan a identificar amenazas en entornos de AWS con datos de eventos y contexto.

Cada conjunto de reglas de AWS requiere ciertos datos para funcionar según lo diseñado, incluidas una o más de las siguientes fuentes:

• AWS CloudTrail
• AWS GuardDuty
• Datos de contexto de AWS sobre hosts, servicios y VPC
• Identity and Access Management de AWS

Para usar estas detecciones seleccionadas, debes transferir los datos de registro de AWS al usuario de SecOps de Google y, luego, habilitar las reglas de detección seleccionadas.

Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:

• Dispositivos y tipos de registros compatibles con AWS: Información sobre los datos que requieren los conjuntos de reglas de AWS.

• Transferencia de registros de AWS a Google Security Operations: pasos para recopilar registros de AWS CloudTrail

• Detección seleccionada para datos de AWS: Resumen de los conjuntos de reglas de AWS en las detecciones seleccionadas de amenazas en la nube.

• Usa detecciones seleccionadas para identificar amenazas: Cómo usar las detecciones seleccionadas en Google SecOps.

Consulta los Google Cloud niveles de servicio para obtener información sobre el tipo de datos de registro que los clientes con Security Command Center Enterprise pueden transferir al inquilino de Google SecOps.