Connettiti ad AWS per la raccolta dei dati dei log

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I rilevamenti selezionati, le indagini sulle minacce e le funzionalità CIEM (Cloud Infrastructure Entitlement Management) di Security Command Center per Amazon Web Services (AWS) richiedono l'importazione dei log AWS utilizzando la pipeline di importazione della console Security Operations. I tipi di log AWS richiesti per l'importazione variano in base a ciò che stai configurando:

• CIEM richiede i dati del tipo di log AWS CloudTrail.
• I rilevamenti selezionati richiedono dati di più tipi di log AWS.

Per scoprire di più sui diversi tipi di log AWS, consulta Dispositivi e tipi di log supportati.

Rilevamenti selezionati

Per i rilevamenti selezionati, ogni insieme di regole AWS richiede determinati dati per funzionare come progettato, inclusi uno o più dei seguenti:

• Log AWS CloudTrail
• AWS GuardDuty
• Dati di contesto AWS su host, servizi, VPC e utenti

Per utilizzare questi rilevamenti selezionati, devi importare i dati AWS in Google Security Operations e poi attivare le regole di rilevamento selezionate. Per informazioni su come configurare l'importazione dei dati AWS, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps. Per informazioni su come attivare le regole di rilevamento selezionate, consulta Utilizzare i rilevamenti selezionati per identificare le minacce nella documentazione di Google SecOps.

Configurare l'importazione dei log AWS per CIEM

Per generare risultati per il tuo ambiente AWS, le funzionalità di gestione dei diritti di Cloud Infrastructure (CIEM) richiedono i dati dei log di AWS CloudTrail.

Per utilizzare CIEM, procedi nel seguente modo durante la configurazione dell'importazione dei log AWS.

1. Quando configuri AWS CloudTrail, completa i seguenti passaggi di configurazione:

   1. Crea una delle seguenti opzioni:

      • Un percorso a livello di organizzazione che estrae i dati dei log da tutti gli account AWS.

      • Un percorso a livello di account che estrae i dati dei log da account AWS selezionati.

   2. Imposta il bucket Amazon S3 o la coda Amazon SQS che scegli per CIEM per registrare gli eventi di gestione di tutte le regioni.

2. Quando configuri un feed per importare i log AWS nella console Security Operations, completa i seguenti passaggi di configurazione:

   1. Crea un feed che importi tutti i log dell'account dal bucket Amazon S3 o dalla coda Amazon SQS per tutte le regioni.

   2. Imposta la coppia chiave-valore Etichette di importazione del feed in base al tipo di origine del feed utilizzando una delle seguenti opzioni:

      • Se il Tipo di origine è Amazon S3, configura una delle seguenti opzioni:

        • Per estrarre i dati ogni 15 minuti, imposta Etichetta su CIEM e Valore su TRUE. Puoi riutilizzare questo feed per altri servizi di Security Command Center in cui è accettabile una latenza dei dati di 15 minuti.
        • Per estrarre i dati ogni 12 ore, imposta Etichetta su CIEM_EXCLUSIVE e Valore su TRUE. Questa opzione è valida per CIEM e altri potenziali servizi di Security Command Center dove è accettabile una latenza dei dati di 24 ore.

      • Se il Tipo di origine è Amazon SQS, imposta Etichetta su CIEM e Valore su TRUE.

Se non configuri correttamente l'importazione dei log, il servizio di rilevamento CIEM potrebbe mostrare risultati errati. Inoltre, se si verificano problemi con la configurazione di CloudTrail, Security Command Center mostra il messaggio CIEM AWS CloudTrail configuration error.

Per configurare l'importazione dei log, consulta Importare i log AWS in Google Security Operations nella documentazione di Google SecOps.

Per istruzioni complete sull'attivazione di CIEM, consulta Attivare il servizio di rilevamento CIEM per AWS. Per saperne di più sulle funzionalità di CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.