Amazon Web Services(AWS)용 Security Command Center 선별된 감지, 위협 조사, 클라우드 인프라 사용 권한 관리(CIEM)(미리보기) 기능을 사용하려면 보안 운영 콘솔 수집 파이프라인을 사용해서 AWS 로그를 수집해야 합니다. 수집에 필요한 AWS 로그 유형은 구성 중인 항목에 따라 다릅니다.
- CIEM에는 AWS CloudTrail 로그 유형의 데이터가 필요합니다.
- 선별된 감지에는 여러 AWS 로그 유형의 데이터가 필요합니다.
다양한 AWS 로그 유형에 대한 자세한 내용은 지원되는 기기 및 로그 유형을 참조하세요.
선별된 감지
선별된 감지의 경우 각 AWS 규칙 집합에는 다음 중 하나 이상을 포함하여 설계된 대로 작동할 특정 데이터가 필요합니다.
- AWS CloudTrail 로그
- AWS GuardDuty
- 호스트, 서비스, VPC, 사용자에 대한 AWS 문맥 데이터
이러한 선별된 감지를 사용하려면 AWS 데이터를 Google Security Operations로 수집한 다음 선별된 감지 규칙을 사용 설정해야 합니다. AWS 데이터 수집을 구성하는 방법에 관한 자세한 내용은 Google SecOps 문서의 Google Security Operations에 AWS 로그 수집을 참조하세요. 선별된 감지 규칙을 사용 설정하는 방법에 관한 자세한 내용은 Google SecOps 문서의 선별된 감지를 사용하여 위협 식별하기를 참조하세요.
CIEM용 AWS 로그 수집 구성
AWS 환경의 발견 항목을 생성하려면 클라우드 인프라 사용 권한 관리(CIEM) 기능에 AWS CloudTrail 로그의 데이터가 필요합니다.
CIEM을 사용하려면 AWS 로그 수집을 구성할 때 다음을 수행합니다.
AWS CloudTrail을 설정할 때 다음 구성 단계를 완료합니다.
- 환경의 모든 AWS 계정에서 로그 데이터를 가져오는 조직 수준 트레일을 만듭니다.
- CIEM에 선택한 S3 버킷을 설정하여 모든 리전의 데이터 이벤트 및 관리 이벤트를 로깅합니다. 또한 데이터 이벤트를 수집할 관련 서비스를 모두 선택합니다. 이 이벤트 데이터가 없으면 CIEM에서 AWS에 관한 정확한 결과를 생성할 수 없습니다.
Security Operations 콘솔에서 AWS 로그를 수집하도록 피드를 설정할 때 다음 구성 단계를 완료합니다.
- 모든 리전의 S3 버킷에서 모든 계정 로그를 수집하는 피드를 만듭니다.
- 피드 수집 라벨 키-값 쌍을
CIEM및TRUE로 설정합니다.
로그 수집을 올바르게 구성하지 않으면 CIEM 감지 서비스에 잘못된 결과가 표시될 수 있습니다. 또한 CloudTrail 구성에 문제가 있으면 Security Command Center에 CIEM AWS CloudTrail configuration error 아이콘이 표시됩니다.
로그 수집을 구성하려면 Google SecOps 문서의 Google Security Operations에 AWS 로그 수집을 참조하세요.
CIEM 사용 설정에 대한 자세한 내용은 AWS용 CIEM 감지 서비스 사용 설정을 참조하세요. CIEM 기능에 대한 자세한 내용은 클라우드 인프라 사용 권한 관리 개요를 참조하세요.