如要使用 Security Command Center 提供的 Amazon Web Services (AWS) 偵測結果、威脅調查和 Cloud Infrastructure Entitlement Management (CIEM) 功能,必須透過 Google SecOps 擷取管道擷取 AWS 記錄。視您設定的項目而定,擷取作業所需的 AWS 記錄類型會有所不同:
- CIEM 需要 AWS CloudTrail 記錄類型中的資料。
- 如要使用精選偵測功能,必須提供多種 AWS 記錄類型的資料。
如要進一步瞭解不同的 AWS 記錄類型,請參閱「支援的裝置和記錄類型」。
設定 AWS 記錄檔擷取功能,以便使用 CIEM
如要為 AWS 環境產生調查結果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要 AWS CloudTrail 日誌中的資料。
如要使用 CIEM,請在設定 AWS 記錄檔擷取功能時,執行下列步驟。
設定 AWS CloudTrail 時,請完成下列設定步驟:
建立下列其中一項:
- 機構層級的追蹤記錄,可從所有 AWS 帳戶提取記錄資料。
帳戶層級的追蹤記錄,可從選取的 AWS 帳戶提取記錄資料。
設定您為 CIEM 選擇的 Amazon S3 值區或 Amazon SQS 佇列,以便記錄所有區域的管理事件。
如要使用 Security Operations 控制台的「Feeds」頁面設定動態饋給,以便擷取 AWS 記錄,請完成下列設定步驟:
- 建立動態饋給,從 Amazon S3 儲存貯體或 Amazon SQS 佇列,擷取所有區域的所有帳戶記錄。
根據動態饋給來源類型,使用下列任一選項,設定動態饋給擷取標籤鍵/值組:
如果「來源類型」為「Amazon S3」,請設定下列其中一項:
- 如要每 15 分鐘擷取一次資料,請將「標籤」設為
CIEM,並將「值」設為TRUE。 如果其他 Security Command Center 服務可接受 15 分鐘的資料延遲,您就能重複使用這個資訊提供。 - 如要每 12 小時擷取一次資料,請將「Label」設為
CIEM_EXCLUSIVE,並將「Value」設為TRUE。如果可接受 24 小時的資料延遲時間,這個選項就適用於 CIEM 和其他潛在的 Security Command Center 服務。
- 如要每 15 分鐘擷取一次資料,請將「標籤」設為
如果「來源類型」為「Amazon SQS」,請將「標籤」設為
CIEM,並將「值」設為TRUE。
如果記錄擷取設定有誤,CIEM 偵測服務可能會顯示不正確的結果。此外,如果 CloudTrail 設定有問題,Security Command Center 會顯示 CIEM AWS CloudTrail configuration error。
如要設定記錄檔擷取功能,請參閱 Google SecOps 說明文件中的「將 AWS 記錄檔擷取至 Google Security Operations」。
如需啟用 CIEM 的完整操作說明,請參閱「為 AWS 啟用 CIEM 偵測服務」。如要進一步瞭解 CIEM 功能,請參閱「Cloud Infrastructure Entitlement Management 總覽」。
設定 AWS 記錄檔擷取功能,以便使用精選偵測規則
Security Command Center Enterprise 提供精選的偵測功能,可使用事件和環境資料,協助識別 AWS 環境中的威脅。
每個 AWS 規則集都需要特定資料才能正常運作,包括下列一或多個來源:
- AWS CloudTrail
- AWS GuardDuty
- 主機、服務和 VPC 的 AWS 環境資料。
- AWS Identity and Access Management
如要使用這些精選偵測規則,您必須將 AWS 記錄資料擷取至 Google SecOps 租戶,然後啟用精選偵測規則。
詳情請參閱 Google SecOps 說明文件中的下列內容:
AWS 支援的裝置和記錄類型:AWS 規則集所需的資料相關資訊。
將 AWS 記錄擷取至 Google Security Operations:收集 AWS CloudTrail 記錄的步驟。
AWS 資料的精選偵測項目:Cloud Threats 精選偵測項目中的 AWS 規則集摘要。
使用精選偵測功能找出威脅:瞭解如何在 Google SecOps 中使用精選偵測功能。
如要瞭解 Security Command Center Enterprise 客戶可擷取至 Google SecOps 租戶的記錄資料類型,請參閱Google Cloud 服務層級。