Conectar-se à AWS para coleta de dados de registro

As detecções selecionadas, a investigação de ameaças e os recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM) do Security Command Center para a Amazon Web Services (AWS) exigem a ingestão de registros da AWS usando o pipeline de ingestão do Google SecOps. Os tipos de registros da AWS necessários para a ingestão variam de acordo com o que você está configurando:

  • A CIEM exige dados do tipo de registro do AWS CloudTrail.
  • As detecções selecionadas exigem dados de vários tipos de registros da AWS.

Para saber mais sobre os diferentes tipos de registros da AWS, consulte Dispositivos e tipos de registros compatíveis.

Configurar a ingestão de registros da AWS para CIEM

Para gerar descobertas no seu ambiente da AWS, os recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM) exigem dados dos registros do AWS CloudTrail.

Para usar o CIEM, faça o seguinte ao configurar a ingestão de registros da AWS.

  1. Ao configurar o AWS CloudTrail, conclua as seguintes etapas de configuração:

    1. Crie uma das seguintes opções:

      • Um rastreamento no nível da organização que extrai dados de registro de todas as contas da AWS.

      • Uma trilha no nível da conta que extrai dados de registros de contas selecionadas da AWS.

    2. Defina o bucket do Amazon S3 ou a fila do Amazon SQS escolhida para o CIEM registrar eventos de gerenciamento de todas as regiões.

  2. Ao configurar um feed para ingerir registros da AWS usando a página Feeds do console do Security Operations, conclua as seguintes etapas de configuração:

    1. Crie um feed que ingere todos os registros da conta do bucket do Amazon S3 ou da fila do Amazon SQS para todas as regiões.

    2. Defina o par de chave-valor Rótulos de ingestão do feed com base no tipo de origem do feed usando uma das seguintes opções:

      • Se o Tipo de origem for Amazon S3, configure uma das seguintes opções:

        • Para extrair dados a cada 15 minutos, defina o Rótulo como CIEM e o Valor como TRUE. É possível reutilizar esse feed para outros serviços do Security Command Center em que uma latência de dados de 15 minutos é aceitável.
        • Para extrair dados a cada 12 horas, defina o Rótulo como CIEM_EXCLUSIVE e o Valor como TRUE. Essa opção funciona para CIEM e outros possíveis serviços do Security Command Center em que uma latência de dados de 24 horas é aceitável.

      • Se o Tipo de origem for Amazon SQS, defina o Rótulo como CIEM e o Valor como TRUE.

Se você não configurar a ingestão de registros corretamente, o serviço de detecção da CIEM poderá mostrar descobertas incorretas. Além disso, se houver problemas com a configuração do CloudTrail, o Security Command Center vai mostrar o CIEM AWS CloudTrail configuration error.

Para configurar a ingestão de registros, consulte Ingerir registros da AWS no Google Security Operations na documentação do Google SecOps.

Para instruções completas sobre como ativar o CIEM, consulte Ativar o serviço de detecção de CIEM para a AWS. Para mais informações sobre os recursos do CIEM, consulte Visão geral do Cloud Infrastructure Entitlement Management.

Configurar a ingestão de registros da AWS para detecções selecionadas

As detecções selecionadas disponíveis com o Security Command Center Enterprise ajudam a identificar ameaças em ambientes da AWS usando dados de eventos e de contexto.

Cada conjunto de regras da AWS exige determinados dados para funcionar conforme o esperado, incluindo uma ou mais das seguintes fontes:

  • AWS CloudTrail
  • AWS GuardDuty
  • Dados de contexto da AWS sobre hosts, serviços e VPCs.
  • AWS Identity and Access Management

Para usar essas detecções selecionadas, ingira dados de registros da AWS no locatário do Google SecOps e ative as regras de detecção selecionadas.

Para mais informações, consulte o seguinte na documentação do Google SecOps:

Consulte os níveis de serviço doGoogle Cloud para informações sobre o tipo de dados de registro que os clientes do Security Command Center Enterprise podem ingerir no locatário do Google SecOps.