Les fonctionnalités de détection, d'analyse des menaces et de gestion des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center pour Amazon Web Services (AWS) nécessitent l'ingestion des journaux AWS à l'aide du pipeline d'ingestion Google SecOps. Les types de journaux AWS requis pour l'ingestion diffèrent selon ce que vous configurez :
- CIEM nécessite des données provenant du type de journal AWS CloudTrail.
- Les détections organisées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez Appareils et types de journaux compatibles.
Configurer l'ingestion de journaux AWS pour CIEM
Pour générer des résultats pour votre environnement AWS, les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) nécessitent des données issues des journaux AWS CloudTrail.
Pour utiliser CIEM, procédez comme suit lorsque vous configurez l'ingestion de journaux AWS.
Lorsque vous configurez votre AWS CloudTrail, suivez les étapes de configuration suivantes :
Créez l'un des éléments suivants :
- Il s'agit d'une piste au niveau de l'organisation qui extrait les données de journaux de tous les comptes AWS.
Il s'agit d'un trail au niveau du compte qui extrait les données de journaux de certains comptes AWS.
Configurez le bucket Amazon S3 ou la file d'attente Amazon SQS que vous choisissez pour CIEM afin de consigner les événements de gestion de toutes les régions.
Lorsque vous configurez un flux pour ingérer des journaux AWS à l'aide de la page Flux de la console Security Operations, suivez les étapes de configuration suivantes :
- Créez un flux qui ingère tous les journaux de compte du bucket Amazon S3 ou de la file d'attente Amazon SQS pour toutes les régions.
Définissez la paire clé-valeur Ingestion labels du flux en fonction du type de source de flux, en utilisant l'une des options suivantes :
Si le Type de source est Amazon S3, configurez l'un des éléments suivants :
- Pour extraire les données toutes les 15 minutes, définissez Libellé sur
CIEMet Valeur surTRUE. Vous pouvez réutiliser ce flux pour d'autres services Security Command Center où une latence des données de 15 minutes est acceptable. - Pour extraire les données toutes les 12 heures, définissez le libellé sur
CIEM_EXCLUSIVEet la valeur surTRUE. Cette option fonctionne pour CIEM et d'autres services Security Command Center potentiels où une latence de données de 24 heures est acceptable.
- Pour extraire les données toutes les 15 minutes, définissez Libellé sur
Si le Type de source est Amazon SQS, définissez Libellé sur
CIEMet Valeur surTRUE.
Si vous ne configurez pas correctement l'ingestion des journaux, le service de détection CIEM peut afficher des résultats incorrects. De plus, si votre configuration CloudTrail présente des problèmes, Security Command Center affiche l'icône CIEM AWS CloudTrail configuration error.
Pour configurer l'ingestion de journaux, consultez Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation de CIEM, consultez Activer le service de détection CIEM pour AWS. Pour en savoir plus sur les fonctionnalités de CIEM, consultez Présentation de Cloud Infrastructure Entitlement Management.
Configurer l'ingestion de journaux AWS pour les détections sélectionnées
Les détections organisées disponibles avec Security Command Center Enterprise vous aident à identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte.
Chaque ensemble de règles AWS nécessite certaines données pour fonctionner comme prévu, y compris une ou plusieurs des sources suivantes :
- AWS CloudTrail
- AWS GuardDuty
- Données de contexte AWS sur les hôtes, les services et les VPC.
- AWS Identity and Access Management
Pour utiliser ces détections sélectionnées, vous devez ingérer les données de journaux AWS dans le locataire Google SecOps, puis activer les règles de détection sélectionnées.
Pour en savoir plus, consultez les sections suivantes de la documentation Google SecOps :
Appareils et types de journaux compatibles avec AWS : informations sur les données requises par les ensembles de règles AWS.
Ingérer des journaux AWS dans Google Security Operations : étapes à suivre pour collecter les journaux AWS CloudTrail.
Détections organisées pour les données AWS : résumé des ensembles de règles AWS dans les détections organisées sur les menaces cloud.
Utiliser des détections organisées pour identifier les menaces : découvrez comment utiliser des détections organisées dans Google SecOps.
Consultez les niveaux de serviceGoogle Cloud pour en savoir plus sur le type de données de journaux que les clients disposant de Security Command Center Enterprise peuvent ingérer dans le locataire Google SecOps.