Menghubungkan ke AWS untuk pengumpulan data log

Deteksi yang dikurasi, penyelidikan ancaman, dan kemampuan Pengelolaan Hak Infrastruktur Cloud (CIEM) Security Command Center untuk Amazon Web Services (AWS) memerlukan penyerapan log AWS menggunakan pipeline penyerapan Google SecOps. Jenis log AWS yang diperlukan untuk penyerapan berbeda-beda berdasarkan konfigurasi yang Anda lakukan:

  • CIEM memerlukan data dari jenis log AWS CloudTrail.
  • Deteksi yang dikurasi memerlukan data dari beberapa jenis log AWS.

Untuk mempelajari lebih lanjut berbagai jenis log AWS, lihat Perangkat dan jenis log yang didukung.

Mengonfigurasi penyerapan log AWS untuk CIEM

Untuk membuat temuan bagi lingkungan AWS Anda, kemampuan Pengelolaan Hak Infrastruktur Cloud (CIEM) memerlukan data dari log AWS CloudTrail.

Untuk menggunakan CIEM, lakukan hal berikut saat mengonfigurasi penyerapan log AWS.

  1. Saat menyiapkan AWS CloudTrail, selesaikan langkah-langkah konfigurasi berikut:

    1. Buat salah satu hal berikut:

      • Jalur tingkat organisasi yang menarik data log dari semua akun AWS.

      • Trail tingkat akun yang menarik data log dari akun AWS tertentu.

    2. Tetapkan bucket Amazon S3 atau antrean Amazon SQS yang Anda pilih untuk CIEM agar mencatat peristiwa pengelolaan dari semua region.

  2. Saat menyiapkan feed untuk menyerap log AWS menggunakan halaman Feed konsol Operasi Keamanan, selesaikan langkah-langkah konfigurasi berikut:

    1. Buat feed yang menyerap semua log akun dari bucket Amazon S3 atau antrean Amazon SQS untuk semua region.

    2. Tetapkan pasangan nilai kunci Label penyerapan feed berdasarkan jenis sumber feed, menggunakan salah satu opsi berikut:

      • Jika Jenis sumber adalah Amazon S3, konfigurasi salah satu hal berikut:

        • Untuk mengekstrak data setiap 15 menit, tetapkan Label ke CIEM dan Nilai ke TRUE. Anda dapat menggunakan kembali feed ini untuk layanan Security Command Center lainnya yang memiliki latensi data 15 menit.
        • Untuk mengekstrak data setiap 12 jam, tetapkan Label ke CIEM_EXCLUSIVE dan Nilai ke TRUE. Opsi ini berfungsi untuk CIEM dan layanan Security Command Center potensial lainnya yang dapat menerima latensi data 24 jam.

      • Jika Source type adalah Amazon SQS, tetapkan Label ke CIEM dan Value ke TRUE.

Jika Anda tidak mengonfigurasi penyerapan log dengan benar, layanan deteksi CIEM mungkin menampilkan temuan yang salah. Selain itu, jika ada masalah dengan konfigurasi CloudTrail Anda, Security Command Center akan menampilkan CIEM AWS CloudTrail configuration error.

Untuk mengonfigurasi penyerapan log, lihat Menyerahkan log AWS ke Google Security Operations dalam dokumentasi Google SecOps.

Untuk mengetahui petunjuk lengkap tentang cara mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM untuk AWS. Untuk mengetahui informasi selengkapnya tentang fitur CIEM, lihat Ringkasan Pengelolaan Pemberian Hak Infrastruktur Cloud.

Mengonfigurasi penyerapan log AWS untuk deteksi yang dikurasi

Deteksi yang dikurasi yang tersedia dengan Security Command Center Enterprise membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks.

Setiap set aturan AWS memerlukan data tertentu agar dapat berfungsi seperti yang dirancang, termasuk satu atau beberapa sumber berikut:

  • AWS CloudTrail
  • AWS GuardDuty
  • Data konteks AWS tentang host, layanan, dan VPC.
  • AWS Identity and Access Management

Untuk menggunakan deteksi yang dikurasi ini, Anda harus menyerap data log AWS ke tenant Google SecOps, lalu mengaktifkan aturan deteksi yang dikurasi.

Untuk mengetahui informasi selengkapnya, lihat bagian berikut dalam dokumentasi Google SecOps:

Lihat tingkatan layanan untuk mengetahui informasi tentang jenis data log yang dapat di-ingest oleh pelanggan dengan Security Command Center Enterprise ke tenant Google SecOps.Google Cloud