收集 AWS Macie 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 AWS Macie 記錄擷取至 Google Security Operations。AWS Macie 是一項安全服務,可運用機器學習技術自動探索、分類及保護機密資料。整合後,您就能將 Macie 記錄傳送至 Google SecOps,進行更深入的分析和監控。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
設定 Amazon S3 和 IAM
- 按照這份使用者指南建立 Amazon S3 值區:建立值區
- 請儲存 bucket 的「名稱」和「區域」,以供後續使用。
- 按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
- 按一下 [完成]。
- 選取 [權限] 分頁標籤。
- 在「權限政策」部分,按一下「新增權限」。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋並選取 AmazonS3FullAccess 政策。
- 點選「下一步」。
- 按一下「新增權限」。
選用步驟:設定 AWS Macie
- 登入 AWS 管理主控台。
- 在搜尋列中輸入並選取服務清單中的「Macie」。
- 按一下「Create job」(建立工作)。
- 建立新值區或繼續使用現有值區。
- 新增排程工作。
- 選取所有受管理資料 ID。
- 略過「選取自訂資料 ID」,然後按一下「下一步」。
- 略過「選取允許清單」,然後按一下「下一步」。
- 提供有意義的名稱和說明。
- 點選「下一步」。
- 檢查並按一下「提交」。
如何為 AWS Macie 設定 CloudTrail
- 登入 AWS 管理主控台。
在搜尋列中輸入並選取服務清單中的 CloudTrail。
如要繼續使用新追蹤記錄,請按一下「建立追蹤記錄」。
提供「追蹤記錄名稱」 (例如「Macie-Activity-Trail」)。
勾選「為機構中的所有帳戶啟用」核取方塊。
輸入先前建立的 S3 bucket URI (格式應為
s3://your-log-bucket-name/),或建立新的 S3 bucket。如果啟用 SSE-KMS,請提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰。
其他設定可維持預設值。
點選「下一步」。
在「事件類型」下方,選取「管理事件」和「資料事件」。
點選「下一步」。
在「檢閱並建立」中檢查設定。
按一下「建立路徑」。
選用:如果您建立了新的 bucket,請繼續進行下列程序:
- 前往 S3。
- 找出並選取新建立的記錄檔 bucket。
- 選取「AWSLogs」AWSLogs資料夾。
- 按一下「複製 S3 URI」並儲存。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「AWS Macie Logs」)。
- 選取「Amazon S3」做為「來源類型」。
- 選取「AWS Macie」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
- URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
- URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
accountId |
principal.group.product_object_id |
直接從「accountId」欄位對應。 |
category |
security_result.category_details |
直接從「category」欄位對應。 |
classificationDetails.jobArn |
security_result.rule_name |
直接從「classificationDetails.jobArn」欄位對應。 |
classificationDetails.jobId |
security_result.rule_id |
直接從「classificationDetails.jobId」欄位對應。 |
classificationDetails.originType |
security_result.rule_type |
直接從「classificationDetails.originType」欄位對應。 |
classificationDetails.result.mimeType |
target.file.mime_type |
直接從「classificationDetails.result.mimeType」欄位對應。 |
classificationDetails.result.sensitiveData.category |
security_result.detection_fields.value |
直接從「classificationDetails.result.sensitiveData.category」欄位對應。剖析器會疊代 sensitiveData 陣列,並建立多個 detection_fields 物件。 |
classificationDetails.result.sensitiveData.totalCount |
security_result.detection_fields.value |
直接從「classificationDetails.result.sensitiveData.totalCount」欄位對應。剖析器會疊代 sensitiveData 陣列,並建立多個 detection_fields 物件。 |
createdAt |
metadata.event_timestamp |
從 createdAt 欄位剖析並轉換為 UDM 時間戳記格式。 |
description |
security_result.description |
直接從「description」欄位對應。 |
id |
metadata.product_log_id |
直接從「id」欄位對應。剖析器中已硬式編碼為 SCAN_FILE。取自原始記錄檔中的頂層 log_type 欄位。剖析器中已硬式編碼為 AWS Macie。直接從「schemaVersion」欄位對應。剖析器中已硬式編碼為 AMAZON。由 resourcesAffected.s3Bucket.name、region 和字串「.s3.amazonaws.com」串連而成。 |
region |
target.location.name |
直接從「region」欄位對應。 |
resourcesAffected.s3Bucket.arn |
target.resource_ancestors.product_object_id |
直接從「resourcesAffected.s3Bucket.arn」欄位對應。 |
resourcesAffected.s3Bucket.createdAt |
target.resource_ancestors.attribute.creation_time |
從 resourcesAffected.s3Bucket.createdAt 欄位剖析並轉換為 UDM 時間戳記格式。 |
resourcesAffected.s3Bucket.name |
target.resource_ancestors.name |
直接從「resourcesAffected.s3Bucket.name」欄位對應。 |
resourcesAffected.s3Bucket.owner.displayName |
target.user.user_display_name |
直接從「resourcesAffected.s3Bucket.owner.displayName」欄位對應。 |
resourcesAffected.s3Bucket.owner.id |
target.user.userid |
直接從「resourcesAffected.s3Bucket.owner.id」欄位對應。 |
resourcesAffected.s3Object.eTag |
target.file.md5 |
直接從「resourcesAffected.s3Object.eTag」欄位對應。 |
resourcesAffected.s3Object.key |
target.file.names |
直接從「resourcesAffected.s3Object.key」欄位對應。 |
resourcesAffected.s3Object.key |
target.resource.name |
直接從「resourcesAffected.s3Object.key」欄位對應。 |
resourcesAffected.s3Object.lastModified |
target.resource.attribute.last_update_time |
從 resourcesAffected.s3Object.lastModified 欄位剖析並轉換為 UDM 時間戳記格式。 |
resourcesAffected.s3Object.path |
target.file.full_path |
前置字元為「s3://」,並從 resourcesAffected.s3Object.path 欄位對應。 |
resourcesAffected.s3Object.path |
target.resource.product_object_id |
直接從「resourcesAffected.s3Object.path」欄位對應。 |
resourcesAffected.s3Object.size |
target.file.size |
轉換為不帶正負號的整數後,直接從 resourcesAffected.s3Object.size 欄位對應。 |
resourcesAffected.s3Object.storageClass |
target.resource.attribute.labels.value |
直接從「resourcesAffected.s3Object.storageClass」欄位對應。索引鍵已硬式編碼為「storageClass」。在剖析器中硬式編碼為 DATA_AT_REST。 |
security_result.detection_fields.key |
category、totalCount |
偵測欄位的硬式編碼鍵。 |
severity.description |
security_result.severity |
對應「severity.description」欄位。「低」對應至 LOW、「中」對應至 MEDIUM、「高」對應至 HIGH。剖析器中已硬式編碼為 AMAZON_WEB_SERVICES。剖析器中已硬式編碼為 STORAGE_OBJECT。在剖析器中硬式編碼為 STORAGE_BUCKET。 |
title |
security_result.summary |
直接從「title」欄位對應。 |
type |
metadata.product_event_type |
直接從「type」欄位對應。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。