收集 AWS Aurora 日志

支持的平台:

本文档介绍了如何将 AWS Aurora 日志注入到 Google Security Operations。AWS Aurora 是一项托管式关系型数据库服务,可提供高性能、可伸缩性和高可用性。在此集成中,您将配置 AWS Aurora 将日志转发到 Google SecOps 以进行分析、监控和威胁检测。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限
  • AWS Aurora 数据库集群已设置并运行

配置 Amazon S3 存储桶

  1. 按照以下用户指南创建 Amazon S3 存储桶创建存储桶
  2. 保存存储桶的名称区域,以备日后使用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 访问密钥部分中,点击创建访问密钥
  7. 选择第三方服务作为用例
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 CSV 文件,保存访问密钥密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccessCloudWatchLogsFullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

配置增强型监控

  1. 登录 AWS Management Console
  2. 在搜索栏中输入 RDS,然后从服务列表中选择 RDS
  3. RDS 信息中心中,从导航窗格中选择数据库
  4. 选择要监控的 Aurora 集群
  5. 日志和监控部分下,点击修改
  6. 前往监控部分,然后启用增强型监控
  7. 监控角色设置为具有向 CloudWatch 日志S3 发布日志的适当 IAM 角色。
  8. 保存更改并将其应用于 Aurora 集群。

如何配置 AWS Aurora 审核日志

  1. RDS 信息中心中,选择数据库,然后点击您的 Aurora 集群
  2. 日志和监控部分下,点击修改
  3. 数据库选项部分中,确保选中启用审核日志
  4. 目标位置下,选择 S3,然后指定要存储日志的 S3 存储桶
  5. 点击保存更改以应用设置。

可选:使用 CloudWatch 配置 AWS Aurora 日志

如需使用其他监控功能,您可以配置 CloudWatch Logs 来捕获 Aurora 日志。

  1. RDS 信息中心中,选择您的 Aurora 集群
  2. 日志和监控部分下,确保已启用 CloudWatch Logs 集成。
  3. 前往 CloudWatch 日志,然后创建一个新的日志组以存储 Aurora 日志。
  4. 日志组屏幕上,选择新日志组的名称。
  5. 依次选择操作 > 将数据导出到 Amazon S3

  6. 将数据导出到 Amazon S3 界面上,在定义数据导出下,使用开始时间结束时间设置要导出的数据的时间范围。

  7. 选择 S3 存储桶,然后选择与 Amazon S3 存储桶关联的账号。

  8. S3 存储桶名称,选择一个 Amazon S3 存储桶。

  9. S3 存储桶前缀,输入您在存储桶政策中指定的随机生成的字符串。

  10. 选择导出,将日志数据导出到 Amazon S3。

  11. 如需查看导出到 Amazon S3 的日志数据的状态,请依次选择操作 > 查看导出到 Amazon S3 的所有数据

设置 Feed

您可以通过以下两个不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

依次选择 SIEM 设置 > Feed,设置 Feed

如需为此产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 AWS Aurora 日志)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 AWS Aurora 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
    • URI 是:根据您的存储桶结构,选择目录包含子目录的目录

    • 来源删除选项:根据您的提取偏好设置选择删除选项。

      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。

    • 访问密钥 ID:用户的访问密钥,具有从 S3 存储桶读取的权限。

    • 私有访问密钥:用户的私有访问密钥,具有从 S3 存储桶读取的权限。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

通过内容中心设置 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
  • S3 URI:存储桶 URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
  • URI 是:根据您的存储桶结构,选择目录包含子目录的目录
  • 来源删除选项:根据您的提取偏好设置选择删除选项。
  • 访问密钥 ID:用户的访问密钥,具有从 S3 存储桶读取的权限。
  • 私有访问密钥:用户的私有访问密钥,具有从 S3 存储桶读取的权限。

高级选项

  • Feed 名称:用于标识 Feed 的预先填充值。
  • 来源类型:用于将日志收集到 Google SecOps 的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于此 Feed 中的所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
account principal.group.product_object_id 直接从原始日志中的 account 字段映射。
column1 timestamp_epoch 直接从原始日志中的 column1 字段映射而来。用于派生 metadata.event_timestamp
column10 不定 可以是 principal.process.command_lineobjectnumber,具体取决于日志格式。
column11 ddlresponsecommand_line2 可以是 principal.resource.resource_subtype (ddl)、security_result.outcomes.value (response) 或 principal.process.command_line (command_line2) 的一部分,具体取决于日志格式。
column12 operationresponsecommand_line3 可以是 sr.summary(操作)、security_result.outcomes.value(响应)或 principal.process.command_line(command_line3)的一部分,具体取决于日志格式。
column13 databaseresponse 可以是 target.resource.name(数据库)或 security_result.outcomes.value(响应),具体取决于日志格式。
column14 object 直接映射到 principal.resource.product_object_idtarget_data.resource.name,具体取决于日志格式。
column15 command_line 直接映射到 principal.process.command_line
column16 response 直接映射到 security_result.outcomes.value
column2 timestamptimestamp_ms 直接从原始日志中的 column2 字段映射。
column3 iphostname 可以是 principal.ipprincipal.resource.name,具体取决于日志格式。
column4 portuserid 可以是 principal.portprincipal.user.userid,具体取决于日志格式。
column5 useridip 可以是 principal.user.useridprincipal.ip,具体取决于日志格式。
column6 hostnameconnection_id 可以是 principal.resource.namenetwork.session_id,具体取决于日志格式。
column7 connection_idquery_id 可以是 network.session_idprincipal.process.pid,具体取决于日志格式。
column8 operation 直接映射到 sr.summarymetadata.product_event_type
column9 query_iddatabase 可以是 principal.process.pidtarget_data.resource.name,具体取决于日志格式。
command_line principal.process.command_line 直接从提取的 command_line 字段映射。
connection_id network.session_id 直接从提取的 connection_id 字段映射。
database target.resource.name 直接从提取的 database 字段映射。通过解析器中的条件逻辑从多个字段(例如 operationcommand_linehas_principal_userhas_principal_machine)派生而来。可以是 RESOURCE_DELETIONRESOURCE_CREATIONRESOURCE_READRESOURCE_WRITTENUSER_RESOURCE_ACCESSUSER_UNCATEGORIZEDGENERIC_EVENT。已硬编码为“AWS_AURORA”。从 column8 映射或从解析器逻辑派生。已硬编码为“AURORA”。已硬编码为“AMAZON”。
has_principal_machine has_principal_machine 如果存在 principal.ip,则设置为“true”;否则,初始化为“false”。
has_principal_user has_principal_user 如果存在 principal.user.userid,则设置为“true”;否则,初始化为“false”。
hostname principal.resource.name 直接从提取的 hostname 字段映射。
ip principal.ip 直接从提取的 ip 字段映射。
logevent.id security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“id”进行映射。
logevent.message security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“message”进行映射。用于提取 principal.iptime_unixoperationuser
logevent.timestamp security_result.detection_fields.value 嵌套在 target.logEvents.logEvents 中,使用键“timestamp”进行映射。
object target_data.resource.nameprincipal.resource.product_object_id 直接从提取的 object 字段映射。
operation sr.summary 直接从提取的 operation 字段映射。
port principal.port 直接从提取的 port 字段映射。
query_id principal.process.pid 直接从提取的 query_id 字段映射。
response security_result.outcomes.value 直接从提取的 response 字段映射。
service principal.application 直接从原始日志中的 service 字段映射。
src_ip principal.ip 从嵌套 target.logEvents.logEvents 结构中的 logevent.message 中提取。
target.logEvents.logGroup target.resource.attribute.labels.value 使用键“logGroup”进行映射。
target.logEvents.logStream target.resource.attribute.labels.value 使用键“logStream”进行映射。
target.logEvents.messageType target.resource.attribute.labels.value 已映射到键“messageType”。
target.logEvents.owner target.resource.attribute.labels.value 使用键“owner”进行映射。
timestamp_epoch metadata.event_timestamp 使用 date 过滤器转换为 metadata.event_timestamp
user principal.user.userid 从嵌套 target.logEvents.logEvents 结构中的 logevent.message 中提取。
userid principal.user.userid 直接从提取的 userid 字段映射。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。