若要使用 Security Command Center 为 Amazon Web Services (AWS) 提供的检测、威胁调查和 Cloud Infrastructure Entitlement Management (CIEM) 功能,您需要使用 Security Operations 控制台提取流水线提取 AWS 日志。注入所需的 AWS 日志类型因您要配置的内容而异:
- CIEM 需要来自 AWS CloudTrail 日志类型的数据。
- 精选检测需要来自多种 AWS 日志类型的数据。
如需详细了解不同的 AWS 日志类型,请参阅支持的设备和日志类型。
精选检测
对于人工挑选的检测,每个 AWS 规则集都需要特定数据才能按预期运行,包括以下一项或多项:
- AWS CloudTrail 日志
- AWS GuardDuty
- 与主机、服务、VPC 和用户相关的 AWS 上下文数据
如需使用这些精选检测功能,您必须将 AWS 数据提取到 Google Security Operations,然后启用精选检测规则。如需了解如何配置 AWS 数据的提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营。如需了解如何启用精选检测规则,请参阅 Google SecOps 文档中的使用精选检测功能识别威胁。
为 CIEM 配置 AWS 日志注入
如需为您的 AWS 环境生成发现结果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要使用 AWS CloudTrail 日志中的数据。
如需使用 CIEM,请在配置 AWS 日志注入时执行以下操作。
设置 AWS CloudTrail 时,请完成以下配置步骤:
创建以下任一内容:
- 一个组织级轨迹,用于从所有 AWS 账号中提取日志数据。
一种账号级轨迹,用于从特定 AWS 账号中提取日志数据。
为 CIEM 设置您选择的 Amazon S3 存储分区或 Amazon SQS 队列,以记录来自所有区域的管理事件。
在安全运营控制台中设置 Feed 以提取 AWS 日志时,请完成以下配置步骤:
- 创建一个 Feed,用于提取所有区域的 Amazon S3 存储分区或 Amazon SQS 队列中的所有账号日志。
根据 Feed 来源类型,使用以下任一选项设置 Feed 提取标签键值对:
如果来源类型为 Amazon S3,请配置以下任一项:
- 如需每 15 分钟提取一次数据,请将标签设置为
CIEM,并将值设置为TRUE。您可以将此 Feed 用于其他 Security Command Center 服务,前提是可以接受 15 分钟的数据延迟时间。 - 如需每 12 小时提取一次数据,请将标签设置为
CIEM_EXCLUSIVE,并将值设置为TRUE。此选项适用于 CIEM 和其他可能的 Security Command Center 服务,如果可以接受 24 小时的数据延迟时间。
- 如需每 15 分钟提取一次数据,请将标签设置为
如果来源类型为 Amazon SQS,请将标签设置为
CIEM,并将值设置为TRUE。
如果您未正确配置日志提取,CIEM 检测服务可能会显示错误的发现结果。此外,如果您的 CloudTrail 配置存在问题,Security Command Center 会显示 CIEM AWS CloudTrail configuration error。
如需配置日志提取,请参阅 Google SecOps 文档中的将 AWS 日志提取到 Google 安全运营中心。
如需有关启用 CIEM 的完整说明,请参阅为 AWS 启用 CIEM 检测服务。如需详细了解 CIEM 功能,请参阅 Cloud Infrastructure Entitlement Management 概览。