Les fonctionnalités de détections optimisées, d'analyse des menaces et de gestion des droits d'accès à l'infrastructure cloud (CIEM) de Security Command Center pour Amazon Web Services (AWS) nécessitent l'ingestion des journaux AWS à l'aide du pipeline d'ingestion Google SecOps. Les types de journaux AWS requis pour l'ingestion varient en fonction de ce que vous configurez :
- Le CIEM nécessite des données du type de journal AWS CloudTrail.
- Les détections optimisées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez Appareils et types de journaux compatibles.
Configurer l'ingestion des journaux AWS pour CIEM
Pour générer des résultats pour votre environnement AWS, les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) nécessitent des données provenant des journaux AWS CloudTrail.
Pour utiliser CIEM, procédez comme suit lorsque vous configurez l'ingestion de journaux AWS.
Lorsque vous configurez AWS CloudTrail, suivez les étapes suivantes :
Créez l'un des éléments suivants :
- Un chemin au niveau de l'organisation qui extrait les données de journaux de tous les comptes AWS.
Il s'agit d'une piste au niveau du compte qui extrait les données de journaux de certains comptes AWS.
Configurez le bucket Amazon S3 ou la file d'attente Amazon SQS que vous choisissez pour CIEM afin de consigner les événements de gestion de toutes les régions.
Lorsque vous configurez un flux pour ingérer des journaux AWS à l'aide de la page Flux de la console Security Operations, suivez les étapes de configuration suivantes :
- Créez un flux qui ingère tous les journaux de compte du bucket Amazon S3 ou de la file d'attente Amazon SQS pour toutes les régions.
Définissez la paire clé-valeur Ingestion labels du flux en fonction du type de source du flux, en utilisant l'une des options suivantes :
Si le Type de source est Amazon S3, configurez l'un des éléments suivants :
- Pour extraire les données toutes les 15 minutes, définissez Libellé sur
CIEMet Valeur surTRUE. Vous pouvez réutiliser ce flux pour d'autres services Security Command Center où une latence de données de 15 minutes est acceptable. - Pour extraire les données toutes les 12 heures, définissez le libellé sur
CIEM_EXCLUSIVEet la valeur surTRUE. Cette option fonctionne pour CIEM et d'autres services potentiels de Security Command Center où une latence des données de 24 heures est acceptable.
- Pour extraire les données toutes les 15 minutes, définissez Libellé sur
Si le Type de source est Amazon SQS, définissez le Libellé sur
CIEMet la Valeur surTRUE.
Si vous ne configurez pas correctement l'ingestion des journaux, le service de détection CIEM peut afficher des résultats incorrects. De plus, en cas de problème avec votre configuration CloudTrail, Security Command Center affiche l'icône CIEM AWS CloudTrail configuration error.
Pour configurer l'ingestion des journaux, consultez Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation de CIEM, consultez Activer le service de détection CIEM pour AWS. Pour en savoir plus sur les fonctionnalités de CIEM, consultez Présentation de Cloud Infrastructure Entitlement Management.
Configurer l'ingestion de journaux AWS pour les détections sélectionnées
Les détections organisées disponibles avec Security Command Center Enterprise permettent d'identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte.
Chaque ensemble de règles AWS nécessite certaines données pour fonctionner comme prévu, y compris une ou plusieurs des sources suivantes :
- AWS CloudTrail
- AWS GuardDuty
- Données contextuelles AWS sur les hôtes, les services et les VPC.
- AWS Identity and Access Management
Pour utiliser ces détections optimisées, vous devez ingérer les données de journaux AWS dans le locataire Google SecOps, puis activer les règles de détection optimisées.
Pour en savoir plus, consultez les sections suivantes de la documentation Google SecOps :
Appareils et types de journaux compatibles avec AWS : informations sur les données requises par les ensembles de règles AWS.
Ingérer des journaux AWS dans Google Security Operations : étapes à suivre pour collecter les journaux AWS CloudTrail.
Détections optimisées pour les données AWS : résumé des ensembles de règles AWS dans les détections optimisées sur les menaces cloud.
Utiliser des détections optimisées pour identifier les menaces : découvrez comment utiliser des détections optimisées dans Google SecOps.
Consultez Collecte des données de journaux Google SecOps pour en savoir plus sur les types de données de journaux que les clients disposant de Security Command Center Enterprise peuvent ingérer dans le locataire Google SecOps.