Conectar-se à AWS para coleta de dados de registro

As detecções selecionadas do Security Command Center, a investigação de ameaças e os recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) para a Amazon Web Services (AWS) exigem a ingestão de registros da AWS usando o pipeline de ingestão do console Security Operations. Os tipos de registro da AWS necessários para a ingestão são diferentes com base no que você está configurando:

  • A CIEM exige dados do tipo de registro do AWS CloudTrail.
  • As detecções selecionadas exigem dados de vários tipos de registro da AWS.

Para saber mais sobre os diferentes tipos de registro da AWS, consulte Dispositivos e tipos de registro compatíveis.

Detecções selecionadas

Para detecções selecionadas, cada conjunto de regras da AWS precisa de determinados dados para funcionar conforme o esperado, incluindo um ou mais dos seguintes:

  • Registros do AWS CloudTrail
  • AWS GuardDuty
  • Dados de contexto da AWS sobre hosts, serviços, VPCs e usuários

Para usar essas detecções selecionadas, é necessário ingerir dados da AWS para o Google Security Operations e ativar as regras de detecção selecionadas. Para saber como configurar a ingestão de dados da AWS, consulte Ingerir registros da AWS no Google Security Operations na documentação do Google SecOps. Para saber como ativar as regras de detecção selecionadas, consulte Usar detecções selecionadas para identificar ameaças na documentação do Google SecOps.

Configurar a ingestão de registros da AWS para CIEM

Para gerar descobertas no seu ambiente da AWS, os recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) precisam de dados dos registros do AWS CloudTrail.

Para usar a CIEM, faça o seguinte ao configurar a ingestão de registros da AWS.

  1. Ao configurar o AWS CloudTrail, siga estas etapas de configuração:

    1. Crie uma das seguintes opções:

      • Um rastro no nível da organização que extrai dados de registro de todas as contas da AWS.

      • Um rastro no nível da conta que extrai dados de registro de determinadas contas da AWS.

    2. Defina o bucket do Amazon S3 ou a fila do Amazon SQS escolhido para que o CIEM registre eventos de gerenciamento de todas as regiões.

  2. Ao configurar um feed para processar registros da AWS no console de operações de segurança, conclua as seguintes etapas de configuração:

    1. Crie um feed que ingere todos os registros de conta do bucket do Amazon S3 ou da fila do Amazon SQS para todas as regiões.

    2. Defina o par de chave-valor Ingestion labels do feed com base no tipo de origem do feed usando uma das seguintes opções:

      • Se o Tipo de origem for Amazon S3, configure uma das seguintes opções:

        • Para extrair dados a cada 15 minutos, defina Label como CIEM e Value como TRUE. Você pode reutilizar esse feed para outros serviços do Security Command Center em que uma latência de 15 minutos seja aceitável.
        • Para extrair dados a cada 12 horas, defina Rótulo como CIEM_EXCLUSIVE e Valor como TRUE. Essa opção funciona para CIEM e outros possíveis serviços do Security Command Center em que uma latência de dados de 24 horas é aceitável.

      • Se o Tipo de origem for Amazon SQS, defina Label como CIEM e Value como TRUE.

Se você não configurar a ingestão de registros corretamente, o serviço de detecção do CIEM poderá mostrar resultados incorretos. Além disso, se houver problemas com a configuração do CloudTrail, o Security Command Center vai mostrar o CIEM AWS CloudTrail configuration error.

Para configurar a ingestão de registros, consulte Como ingerir registros da AWS no Google Security Operations na documentação do Google SecOps.

Para instruções completas sobre como ativar o CIEM, consulte Ativar o serviço de detecção do CIEM para a AWS. Para mais informações sobre os recursos do CIEM, consulte Visão geral do Cloud Infrastructure Entitlement Management.