Menghubungkan ke AWS untuk pengumpulan data log

Kemampuan pendeteksian terseleksi, investigasi ancaman, dan Cloud Infrastructure Entitlement Management (CIEM) Security Command Center untuk Amazon Web Services (AWS) memerlukan penyerapan log AWS menggunakan pipeline penyerapan Google SecOps. Jenis log AWS yang diperlukan untuk penyerapan berbeda-beda berdasarkan konfigurasi Anda:

  • CIEM memerlukan data dari jenis log AWS CloudTrail.
  • Pendeteksian terseleksi memerlukan data dari beberapa jenis log AWS.

Untuk mempelajari lebih lanjut berbagai jenis log AWS, lihat Perangkat dan jenis log yang didukung.

Mengonfigurasi penyerapan log AWS untuk CIEM

Untuk membuat temuan bagi lingkungan AWS Anda, kemampuan Cloud Infrastructure Entitlement Management (CIEM) memerlukan data dari log AWS CloudTrail.

Untuk menggunakan CIEM, lakukan hal berikut saat mengonfigurasi penyerapan log AWS.

  1. Saat menyiapkan AWS CloudTrail, selesaikan langkah-langkah konfigurasi berikut:

    1. Buat salah satu hal berikut:

      • Jalur tingkat organisasi yang mengambil data log dari semua akun AWS.

      • Jalur tingkat akun yang mengambil data log dari akun AWS tertentu.

    2. Tetapkan bucket Amazon S3 atau antrean Amazon SQS yang Anda pilih untuk CIEM guna mencatat log peristiwa pengelolaan dari semua region.

  2. Saat menyiapkan feed untuk menyerap log AWS menggunakan halaman Feed konsol Security Operations, selesaikan langkah-langkah konfigurasi berikut:

    1. Buat feed yang menyerap semua log akun dari bucket Amazon S3 atau antrean Amazon SQS untuk semua region.

    2. Tetapkan pasangan nilai kunci Label penyerapan feed berdasarkan jenis sumber feed, menggunakan salah satu opsi berikut:

      • Jika Jenis sumber adalah Amazon S3, konfigurasikan salah satu hal berikut:

        • Untuk mengekstrak data setiap 15 menit, tetapkan Label ke CIEM dan Nilai ke TRUE. Anda dapat menggunakan kembali feed ini untuk layanan Security Command Center lainnya yang memiliki latensi data 15 menit.
        • Untuk mengekstrak data setiap 12 jam, tetapkan Label ke CIEM_EXCLUSIVE dan Nilai ke TRUE. Opsi ini berfungsi untuk CIEM dan layanan Security Command Center potensial lainnya yang memiliki latensi data 24 jam.

      • Jika Jenis sumber adalah Amazon SQS, tetapkan Label ke CIEM dan Nilai ke TRUE.

Jika Anda tidak mengonfigurasi penyerapan log dengan benar, layanan deteksi CIEM mungkin menampilkan temuan yang salah. Selain itu, jika ada masalah dengan konfigurasi CloudTrail, Security Command Center akan menampilkan CIEM AWS CloudTrail configuration error.

Untuk mengonfigurasi penyerapan log, lihat Menyerahkan log AWS ke Google Security Operations dalam dokumentasi Google SecOps.

Untuk mengetahui petunjuk lengkap tentang cara mengaktifkan CIEM, lihat Mengaktifkan layanan deteksi CIEM untuk AWS. Untuk mengetahui informasi selengkapnya tentang fitur CIEM, lihat Ringkasan Cloud Infrastructure Entitlement Management.

Mengonfigurasi penyerapan log AWS untuk pendeteksian terseleksi

Pendeteksian terseleksi yang tersedia dengan Security Command Center Enterprise membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks.

Setiap set aturan AWS memerlukan data tertentu agar berfungsi sebagaimana mestinya, termasuk satu atau beberapa sumber berikut:

  • AWS CloudTrail
  • AWS GuardDuty
  • Data konteks AWS tentang host, layanan, dan VPC.
  • AWS Identity and Access Management

Untuk menggunakan pendeteksian terseleksi ini, Anda harus menyerap data log AWS ke tenant Google SecOps, lalu mengaktifkan aturan pendeteksian terseleksi.

Untuk mengetahui informasi selengkapnya, lihat hal berikut dalam dokumentasi Google SecOps:

Lihat Pengumpulan data log Google SecOps untuk mengetahui informasi tentang jenis data log yang dapat diserahkan oleh pelanggan dengan Security Command Center Enterprise ke tenant Google SecOps.