Connettiti ad AWS per la raccolta dei dati dei log

Le funzionalità di rilevamento curate, analisi delle minacce e gestione dei diritti dell'infrastruttura cloud (CIEM) di Security Command Center per Amazon Web Services (AWS) richiedono l'importazione dei log AWS utilizzando la pipeline di importazione di Google SecOps. I tipi di log AWS richiesti per l'importazione variano in base a ciò che stai configurando:

  • CIEM richiede i dati del tipo di log AWS CloudTrail.
  • I rilevamenti curati richiedono dati provenienti da più tipi di log AWS.

Per scoprire di più sui diversi tipi di log AWS, consulta Dispositivi e tipi di log supportati.

Configura l'importazione dei log AWS per CIEM

Per generare risultati per il tuo ambiente AWS, le funzionalità di Cloud Infrastructure Entitlement Management (CIEM) richiedono i dati dei log AWS CloudTrail.

Per utilizzare CIEM, segui questi passaggi durante la configurazione dell'importazione dei log AWS.

  1. Quando configuri AWS CloudTrail, completa i seguenti passaggi di configurazione:

    1. Crea uno dei seguenti elementi:

      • Una traccia a livello di organizzazione che estrae i dati di log da tutti gli account AWS.

      • Una traccia a livello di account che estrae i dati di log da account AWS selezionati.

    2. Imposta il bucket Amazon S3 o la coda Amazon SQS che scegli per CIEM in modo che registri gli eventi di gestione di tutte le regioni.

  2. Quando configuri un feed per importare i log AWS utilizzando la pagina Feed della console Security Operations, completa i seguenti passaggi di configurazione:

    1. Crea un feed che acquisisca tutti i log dell'account dal bucket Amazon S3 o dalla coda Amazon SQS per tutte le regioni.

    2. Imposta la coppia chiave-valore Etichette di importazione del feed in base al tipo di origine del feed, utilizzando una delle seguenti opzioni:

      • Se Tipo di origine è Amazon S3, configura una delle seguenti opzioni:

        • Per estrarre i dati ogni 15 minuti, imposta Etichetta su CIEM e Valore su TRUE. Puoi riutilizzare questo feed per altri servizi Security Command Center in cui è accettabile una latenza dei dati di 15 minuti.
        • Per estrarre i dati ogni 12 ore, imposta l'etichetta su CIEM_EXCLUSIVE e il valore su TRUE. Questa opzione funziona per CIEM e altri potenziali servizi di Security Command Center in cui è accettabile una latenza dei dati di 24 ore.

      • Se il Tipo di origine è Amazon SQS, imposta l'Etichetta su CIEM e il Valore su TRUE.

Se non configuri correttamente l'importazione dei log, il servizio di rilevamento CIEM potrebbe mostrare risultati errati. Inoltre, se si verificano problemi con la configurazione di CloudTrail, Security Command Center visualizza il CIEM AWS CloudTrail configuration error.

Per configurare l'importazione dei log, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps.

Per istruzioni complete sull'attivazione di CIEM, vedi Attivare il servizio di rilevamento CIEM per AWS. Per saperne di più sulle funzionalità di CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.

Configura l'importazione dei log AWS per i rilevamenti curati

I rilevamenti curati disponibili con Security Command Center Enterprise aiutano a identificare le minacce negli ambienti AWS utilizzando sia i dati sugli eventi che quelli contestuali.

Ogni set di regole AWS richiede determinati dati per funzionare come previsto, tra cui una o più delle seguenti origini:

  • AWS CloudTrail
  • AWS GuardDuty
  • Dati di contesto AWS su host, servizi e VPC.
  • AWS Identity and Access Management

Per utilizzare questi rilevamenti curati, devi importare i dati di log AWS nel tenant Google SecOps e poi attivare le regole di rilevamento curate.

Per ulteriori informazioni, consulta le seguenti sezioni della documentazione di Google SecOps:

Consulta i livelli di servizio per informazioni sul tipo di dati di log che i clienti con Security Command Center Enterprise possono importare nel tenant Google SecOps.Google Cloud