Menghubungkan ke AWS untuk pengumpulan data log

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Kemampuan deteksi, investigasi ancaman, dan Cloud Infrastructure Entitlement Management (CIEM) yang diseleksi Security Command Center untuk Amazon Web Services (AWS) memerlukan penyerapan log AWS menggunakan pipeline penyerapan konsol Security Operations. Jenis log AWS yang diperlukan untuk penyerapan berbeda-beda berdasarkan hal yang Anda konfigurasikan:

• CIEM memerlukan data dari jenis log AWS CloudTrail.
• Deteksi pilihan memerlukan data dari beberapa jenis log AWS.

Untuk mempelajari lebih lanjut berbagai jenis log AWS, lihat Perangkat dan jenis log yang didukung.

Deteksi pilihan

Untuk deteksi yang diseleksi, setiap kumpulan aturan AWS memerlukan data tertentu agar berfungsi seperti yang dirancang, termasuk satu atau beberapa hal berikut:

• Log AWS CloudTrail
• AWS GuardDuty
• Data konteks AWS tentang host, layanan, VPC, dan pengguna

Untuk menggunakan deteksi pilihan ini, Anda harus menyerap data AWS ke Google Security Operations, lalu mengaktifkan aturan deteksi pilihan. Untuk mengetahui informasi tentang cara mengonfigurasi penyerapan data AWS, lihat Menyerap log AWS ke Google Security Operations dalam dokumentasi Google SecOps. Untuk mengetahui informasi tentang cara mengaktifkan aturan deteksi yang diseleksi, lihat Menggunakan deteksi yang diseleksi untuk mengidentifikasi ancaman dalam dokumentasi Google SecOps.

Mengonfigurasi penyerapan log AWS untuk CIEM

Untuk menghasilkan temuan bagi lingkungan AWS Anda, kemampuan Cloud Infrastructure Entitlement Management (CIEM) memerlukan data dari log AWS CloudTrail.

Untuk menggunakan CIEM, lakukan hal berikut saat mengonfigurasi penyerapan log AWS.

1. Saat menyiapkan AWS CloudTrail, selesaikan langkah-langkah konfigurasi berikut:

   1. Buat salah satu dari berikut ini:

      • Jejak tingkat organisasi yang mengambil data log dari semua akun AWS.

      • Jejak tingkat akun yang mengambil data log dari akun AWS tertentu.

   2. Tetapkan bucket Amazon S3 atau antrean Amazon SQS yang Anda pilih untuk CIEM untuk mencatat peristiwa pengelolaan dari semua region.

2. Saat menyiapkan feed untuk menyerap log AWS di konsol Security Operations, selesaikan langkah-langkah konfigurasi berikut:

   1. Buat feed yang menyerap semua log akun dari bucket Amazon S3 atau antrean Amazon SQS untuk semua region.

   2. Tetapkan pasangan nilai kunci Label transfer feed berdasarkan jenis sumber feed, menggunakan salah satu opsi berikut:

      • Jika Source type adalah Amazon S3, konfigurasikan salah satu dari opsi berikut:

        • Untuk mengekstrak data setiap 15 menit, tetapkan Label ke CIEM dan Value ke TRUE. Anda dapat menggunakan kembali feed ini untuk layanan Security Command Center lainnya jika latensi data 15 menit dapat diterima.
        • Untuk mengekstrak data setiap 12 jam, tetapkan Label ke CIEM_EXCLUSIVE dan Value ke TRUE. Opsi ini berfungsi untuk CIEM dan layanan Security Command Center potensial lainnya dengan latensi data 24 jam yang dapat diterima.

      • Jika Source type adalah Amazon SQS, tetapkan Label ke CIEM dan Value ke TRUE.

Jika Anda tidak mengonfigurasi penyerapan log dengan benar, layanan deteksi CIEM mungkin menampilkan temuan yang salah. Selain itu, jika ada masalah dengan konfigurasi CloudTrail, Security Command Center akan menampilkan CIEM AWS CloudTrail configuration error.

Untuk mengonfigurasi penyerapan log, lihat Menyerap log AWS ke Google Security Operations dalam dokumentasi Google SecOps.

Untuk mengetahui petunjuk lengkap tentang cara mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM untuk AWS. Untuk mengetahui informasi selengkapnya tentang fitur CIEM, lihat Ringkasan Pengelolaan Hak Izin Infrastruktur Cloud.