Für die kuratierten Erkennungsmechanismen, die Bedrohungsuntersuchung und die Funktionen von Cloud Infrastructure Entitlement Management (CIEM) von Security Command Center für Amazon Web Services (AWS) müssen AWS-Logs über die Google SecOps-Aufnahmepipeline aufgenommen werden. Die für die Aufnahme erforderlichen AWS-Logtypen variieren je nach Konfiguration:
- Für CIEM sind Daten aus dem AWS CloudTrail-Logtyp erforderlich.
- Für ausgewählte Erkennungen sind Daten aus mehreren AWS-Logtypen erforderlich.
Weitere Informationen zu den verschiedenen AWS-Logtypen finden Sie unter Unterstützte Geräte und Log typen.
AWS-Logaufnahme für CIEM konfigurieren
Um Ergebnisse für Ihre AWS-Umgebung zu generieren, benötigen die Funktionen von Cloud Infrastructure Entitlement Management (CIEM) Daten aus AWS CloudTrail-Logs.
Wenn Sie CIEM verwenden möchten, gehen Sie beim Konfigurieren der AWS-Logaufnahme so vor:
Führen Sie beim Einrichten von AWS CloudTrail die folgenden Konfigurationsschritte aus:
Erstellen Sie eines der folgenden Elemente:
- Einen Trail auf Organisationsebene, der Logdaten aus allen AWS-Konten abruft.
Einen Trail auf Kontoebene, der Logdaten aus ausgewählten AWS-Konten abruft.
Legen Sie für den Amazon S3-Bucket oder die Amazon SQS-Warteschlange, die Sie für CIEM auswählen, fest, dass Verwaltungsereignisse aus allen Regionen protokolliert werden.
Führen Sie beim Einrichten eines Feeds zum Aufnehmen von AWS-Logs über die Seite Feeds in der Security Operations Console die folgenden Konfigurationsschritte aus:
- Erstellen Sie einen Feed, der alle Kontoprotokolle aus dem Amazon S3-Bucket oder der Amazon SQS-Warteschlange für alle Regionen aufnimmt.
Legen Sie das Schlüssel-Wert-Paar für Aufnahmelabels des Feeds basierend auf dem Feedquelltyp mit einer der folgenden Optionen fest:
Wenn der Quelltyp Amazon S3 ist, konfigurieren Sie eine der folgenden Optionen:
- Wenn Daten alle 15 Minuten extrahiert werden sollen, legen Sie für Label
CIEMund für WertTRUEfest. Sie können diesen Feed für andere Security Command Center-Dienste wiederverwenden, bei denen eine Datenlatenz von 15 Minuten akzeptabel ist. - Wenn Daten alle 12 Stunden extrahiert werden sollen, legen Sie für Label
CIEM_EXCLUSIVEund für WertTRUEfest. Diese Option funktioniert für CIEM und andere potenzielle Security Command Center-Dienste, bei denen eine Datenlatenz von 24 Stunden akzeptabel ist.
- Wenn Daten alle 15 Minuten extrahiert werden sollen, legen Sie für Label
Wenn der Quelltyp Amazon SQS ist, legen Sie für Label
CIEMund für WertTRUEfest.
Wenn Sie die Logaufnahme nicht richtig konfigurieren, werden im CIEM-Erkennungsdienst möglicherweise falsche Ergebnisse angezeigt. Wenn außerdem Probleme mit Ihrer CloudTrail-Konfiguration auftreten, zeigt Security Command Center den
CIEM AWS CloudTrail configuration error an.
Informationen zum Konfigurieren der Logaufnahme finden Sie in der Google SecOps-Dokumentation unter AWS-Logs in Google Security Operations aufnehmen.
Eine vollständige Anleitung zum Aktivieren von CIEM finden Sie unter CIEM-Erkennungsdienst für AWS aktivieren. Weitere Informationen zu CIEM-Funktionen finden Sie unter Übersicht zu Cloud Infrastructure Entitlement Management.
AWS-Logaufnahme für ausgewählte Erkennungen konfigurieren
Mit den ausgewählten Erkennungen, die in Security Command Center Enterprise verfügbar sind, können Bedrohungen in AWS-Umgebungen anhand von Ereignis- und Kontextdaten erkannt werden.
Für jeden AWS-Regelsatz sind bestimmte Daten erforderlich, damit er wie vorgesehen funktioniert. Dazu gehören eine oder mehrere der folgenden Quellen:
- AWS CloudTrail
- AWS GuardDuty
- AWS-Kontextdaten zu Hosts, Diensten und VPCs
- AWS Identity and Access Management
Wenn Sie diese ausgewählten Erkennungen verwenden möchten, müssen Sie AWS-Logdaten in den Google SecOps-Mandanten aufnehmen und dann die ausgewählten Erkennungsregeln aktivieren.
Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter:
Unterstützte Geräte und Logtypen für AWS: Informationen zu den Daten, die für die AWS-Regelsätze erforderlich sind.
AWS-Logs in Google Security Operations aufnehmen: Schritte zum Erfassen von AWS CloudTrail-Logs.
Ausgewählte Erkennungen für AWS-Daten: Zusammenfassung der AWS-Regelsätze in den ausgewählten Erkennungen für Cloud-Bedrohungen.
Ausgewählte Erkennungen zum Identifizieren von Bedrohungen verwenden: Informationen zur Verwendung von ausgewählten Erkennungen in Google SecOps.
Unter Google SecOps-Logdatenerfassung finden Sie Informationen zu den Arten von Logdaten, die Kunden mit Security Command Center Enterprise in den Google SecOps-Mandanten aufnehmen können.