Raccogliere i log di AWS Session Manager
Questo documento spiega come importare i log di AWS Session Manager in Google Security Operations. AWS Session Manager fornisce un accesso sicuro e controllabile alle istanze Amazon EC2 e ai server on-premise. Integrando i suoi log in Google SecOps, puoi migliorare la tua postura di sicurezza e monitorare gli eventi di accesso remoto.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad AWS
Configura AWS IAM e S3
- Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
- Salva il Nome e la Regione del bucket per utilizzarli in un secondo momento.
- Crea un utente seguendo questa guida: Creazione di un utente IAM.
- Seleziona l'utente creato.
- Seleziona la scheda Credenziali di sicurezza.
- Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
- Seleziona Servizio di terze parti come Caso d'uso.
- Fai clic su Avanti.
- (Facoltativo) Aggiungi un tag di descrizione.
- Fai clic su Crea chiave di accesso.
- Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
- Fai clic su Fine.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
- Seleziona Aggiungi autorizzazioni.
- Seleziona Allega direttamente le norme.
- Cerca e seleziona il criterio AmazonS3FullAccess.
- Fai clic su Avanti.
- Fai clic su Aggiungi autorizzazioni.
Come configurare AWS Session Manager per salvare i log in S3
- Vai alla console AWS Systems Manager.
- Nel riquadro di navigazione, seleziona Session Manager.
- Fai clic sulla scheda Preferenze.
- Fai clic su Modifica.
- In Registrazione S3, seleziona la casella di controllo Abilita.
- Deseleziona la casella di controllo Consenti solo bucket S3 criptati.
- Seleziona un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log di sessione.
- Inserisci il nome di un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log di sessione.
- Fai clic su Salva.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configurare i feed da Impostazioni SIEM > Feed
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di AWS Session Manager).
- Seleziona Amazon S3 come Tipo di origine.
- Seleziona AWS Session Manager come tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/- Sostituisci
your-log-bucket-namecon il nome effettivo del tuo bucket S3.
- Sostituisci
- L'URI è un: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/- Sostituisci
your-log-bucket-namecon il nome effettivo del tuo bucket S3.
- Sostituisci
- L'URI è un: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
--cid |
metadata.description | Parte del campo della descrizione, se presente nel log |
--collector.filesystem.ignored-mount-points |
metadata.description | Parte del campo della descrizione, se presente nel log |
--collector.vmstat.fields |
metadata.description | Parte del campo della descrizione, se presente nel log |
--message-log |
metadata.description | Parte del campo della descrizione, se presente nel log |
--name |
metadata.description | Parte del campo della descrizione, se presente nel log |
--net |
metadata.description | Parte del campo della descrizione, se presente nel log |
--path.procfs |
metadata.description | Parte del campo della descrizione, se presente nel log |
--path.rootfs |
metadata.description | Parte del campo della descrizione, se presente nel log |
--path.sysfs |
metadata.description | Parte del campo della descrizione, se presente nel log |
-v /:/rootfs:ro |
metadata.description | Parte del campo della descrizione, se presente nel log |
-v /proc:/host/proc |
metadata.description | Parte del campo della descrizione, se presente nel log |
-v /sys:/host/sys |
metadata.description | Parte del campo della descrizione, se presente nel log |
CID |
metadata.description | Parte del campo della descrizione, se presente nel log |
ERROR |
security_result.severity | Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok. |
falconctl |
metadata.description | Parte del campo della descrizione, se presente nel log |
ip-1-2-4-2 |
principal.ip | Estratto dal messaggio di log utilizzando la corrispondenza del pattern grok e convertito in un formato di indirizzo IP standard. |
ip-1-2-8-6 |
principal.ip | Estratto dal messaggio di log utilizzando la corrispondenza del pattern grok e convertito in un formato di indirizzo IP standard. |
java |
target.process.command_line | Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok. |
Jun13 |
metadata.event_timestamp.seconds | Parte del campo timestamp, se presente nel log, combinata con i campi month_date e time_stamp. |
[kworker/u16:8-kverityd] |
target.process.command_line | Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok. |
root |
principal.user.userid | Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok. |
| metadata.event_type | Determinato in base alla presenza e ai valori di altri campi: - "STATUS_UPDATE" se src_ip è presente. - "NETWORK_CONNECTION" se sono presenti sia src_ip che dest_ip. - "USER_UNCATEGORIZED" se è presente user_id. - "GENERIC_EVENT" altrimenti. |
|
| metadata.log_type | Imposta "AWS_SESSION_MANAGER". | |
| metadata.product_name | Imposta "AWS Session Manager". | |
| metadata.vendor_name | Imposta su "Amazon". | |
| target.process.pid | Estratto dal messaggio di log utilizzando la corrispondenza di pattern grok. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.