Cómo conectarse a AWS para la recopilación de datos de registro

Las detecciones seleccionadas, la investigación de amenazas y las capacidades de Cloud Infrastructure Entitlement Management (CIEM) de Security Command Center para Amazon Web Services (AWS) requieren la transferencia de registros de AWS a través de la canalización de transferencia de Google SecOps. Los tipos de registros de AWS necesarios para la transferencia difieren según lo que configures:

• CIEM requiere datos del tipo de registro de AWS CloudTrail.
• Las detecciones seleccionadas requieren datos de varios tipos de registros de AWS.

Para obtener más información sobre los diferentes tipos de registros de AWS, consulta Dispositivos y tipos de registros admitidos.

Configura la transferencia de registros de AWS para CIEM

Para generar hallazgos sobre tu entorno de AWS, las capacidades de Cloud Infrastructure Entitlement Management (CIEM) requieren datos de los registros de AWS CloudTrail.

Para usar CIEM, haz lo siguiente cuando configures la transferencia de registros de AWS.

1. Cuando configures tu AWS CloudTrail, completa los siguientes pasos de configuración:

   1. Crea uno de los siguientes elementos:

      • Es un registro de seguimiento a nivel de la organización que extrae datos de registro de todas las cuentas de AWS.

      • Es un registro de seguimiento a nivel de la cuenta que extrae datos de registro de cuentas de AWS seleccionadas.

   2. Configura el bucket de Amazon S3 o la cola de Amazon SQS que elijas para CIEM para registrar eventos de administración de todas las regiones.

2. Cuando configures un feed para transferir registros de AWS a través de la página Feeds de la consola de Operaciones de seguridad, completa los siguientes pasos de configuración:

   1. Crea un feed que ingiera todos los registros de la cuenta desde el bucket de Amazon S3 o la cola de Amazon SQS para todas las regiones.

   2. Establece el par clave-valor de las etiquetas de transferencia del feed según el tipo de fuente del feed con una de las siguientes opciones:

      • Si el Tipo de fuente es Amazon S3, configura una de las siguientes opciones:

        • Para extraer datos cada 15 minutos, configura la Etiqueta como CIEM y el Valor como TRUE. Puedes reutilizar este feed para otros servicios de Security Command Center en los que se acepte una latencia de datos de 15 minutos.
        • Para extraer datos cada 12 horas, configura la Etiqueta como CIEM_EXCLUSIVE y el Valor como TRUE. Esta opción funciona para CIEM y otros posibles servicios de Security Command Center en los que se acepta una latencia de datos de 24 horas.

      • Si el Tipo de fuente es Amazon SQS, establece la Etiqueta en CIEM y el Valor en TRUE.

Si no configuras correctamente la transferencia de registros, es posible que el servicio de detección de CIEM muestre resultados incorrectos. Además, si hay problemas con la configuración de CloudTrail, Security Command Center muestra el ícono CIEM AWS CloudTrail configuration error.

Para configurar la transferencia de registros, consulta Transfiere registros de AWS a Google Security Operations en la documentación de Google SecOps.

Si deseas obtener instrucciones completas para habilitar CIEM, consulta Habilita el servicio de detección de CIEM para AWS. Para obtener más información sobre las funciones de CIEM, consulta la Descripción general de la Administración de derechos de la infraestructura de nube.

Configura la transferencia de registros de AWS para las detecciones seleccionadas

Las detecciones seleccionadas disponibles con Security Command Center Enterprise ayudan a identificar amenazas en entornos de AWS con datos de eventos y de contexto.

Cada conjunto de reglas de AWS requiere ciertos datos para funcionar según lo previsto, incluidas una o más de las siguientes fuentes:

• AWS CloudTrail
• AWS GuardDuty
• Son los datos de contexto de AWS sobre hosts, servicios y VPC.
• AWS Identity and Access Management

Para usar estas detecciones seleccionadas, debes transferir datos de registro de AWS al arrendatario de SecOps de Google y, luego, habilitar las reglas de detección seleccionadas.

Para obtener más información, consulta lo siguiente en la documentación de Google SecOps:

• Dispositivos y tipos de registros admitidos para AWS: Información sobre los datos que requieren los conjuntos de reglas de AWS

• Transfiere registros de AWS a Google Security Operations: Pasos para recopilar registros de AWS CloudTrail.

• Detecciones seleccionadas para datos de AWS: Resumen de los conjuntos de reglas de AWS en las detecciones seleccionadas de Cloud Threats.

• Usa detecciones seleccionadas para identificar amenazas: Cómo usar detecciones seleccionadas en Google SecOps

Consulta los niveles de servicio deGoogle Cloud para obtener información sobre el tipo de datos de registro que los clientes de Security Command Center Enterprise pueden transferir al arrendatario de Google SecOps.