Recopila registros de AWS Aurora

Compatible con:

En este documento, se explica cómo transferir registros de AWS Aurora a Google Security Operations. AWS Aurora es un servicio de base de datos relacional administrado que ofrece alto rendimiento, escalabilidad y disponibilidad. En esta integración, configurarás AWS Aurora para que reenvíe registros a Google SecOps para su análisis, supervisión y detección de amenazas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso con privilegios a AWS
  • Clúster de base de datos de AWS Aurora configurado y en ejecución

Configura el bucket de Amazon S3

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
  2. Guarda el nombre y la región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía del usuario: Crea un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona las políticas AmazonS3FullAccess y CloudWatchLogsFullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura la supervisión mejorada

  1. Accede a la consola de administración de AWS.
  2. En la barra de búsqueda, escribe RDS y selecciona RDS en la lista de servicios.
  3. En el panel de RDS, selecciona Bases de datos en el panel de navegación.
  4. Selecciona el clúster de Aurora que deseas supervisar.
  5. En la sección Registros y supervisión, haz clic en Modificar.
  6. Ve a la sección Supervisión y habilita la Supervisión mejorada.
  7. Establece el rol de supervisión en el rol de IAM adecuado que tenga permisos para publicar en CloudWatch Logs o S3.
  8. Guarda los cambios y aplícalos a tu clúster de Aurora.

Cómo configurar los registros de auditoría de AWS Aurora

  1. En el panel de RDS, selecciona Bases de datos y haz clic en tu clúster de Aurora.
  2. En la sección Registros y supervisión, haz clic en Modificar.
  3. En la sección Opciones de base de datos, asegúrate de que esté seleccionada la opción Habilitar registros de auditoría.
  4. En Destino, elige S3 y especifica el bucket de S3 en el que se almacenarán los registros.
  5. Haz clic en Guardar cambios para aplicar la configuración.

Opcional: Configuración de registros de AWS Aurora con CloudWatch

Para obtener capacidades de supervisión adicionales, puedes configurar CloudWatch Logs para capturar registros de Aurora.

  1. En el panel de RDS, selecciona tu clúster de Aurora.
  2. En la sección Registros y supervisión, asegúrate de que esté habilitada la integración de CloudWatch Logs.
  3. Ve a CloudWatch Logs y crea un grupo de registros nuevo para almacenar los registros de Aurora.
  4. En la pantalla Grupos de registros, elige el nombre de tu nuevo grupo de registros.
  5. Selecciona Acciones > Exportar datos a Amazon S3.

  6. En la pantalla Exportar datos a Amazon S3, en Definir exportación de datos, establece el período de los datos que se exportarán con Desde y Hasta.

  7. En **Elegir bucket de S3**, selecciona la cuenta asociada con el bucket de Amazon S3.

  8. Nombre del bucket de S3, selecciona un bucket de Amazon S3.

  9. En **Prefijo del bucket de S3**, ingresa la cadena generada de forma aleatoria que especificaste en la política del bucket.

  10. Elige Exportar para exportar los datos de registro a Amazon S3.

  11. Para ver el estado de los datos de registro que exportaste a Amazon S3, selecciona Acciones > Ver todas las exportaciones a Amazon S3.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds > Agregar nuevo
  • Content Hub > Paquetes de contenido > Comenzar

Cómo configurar el feed de AWS Aurora

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Ubica el tipo de registro AWS Aurora.

  3. Especifica los valores en los siguientes campos.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: El nombre de la cola de SQS desde la que se leerá
    • URI de S3: El URI del bucket
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la última cantidad de días. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: Una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres

    • Clave de acceso secreta a la cola de SQS: Una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres

    Opciones avanzadas

    • Nombre del feed: Un valor prepropagado que identifica el feed
    • Espacio de nombres del activo: Espacio de nombres asociado con el feed
    • Etiquetas de transferencia: Etiquetas aplicadas a todos los eventos de este feed

  4. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account principal.group.product_object_id Se asigna directamente desde el campo account en el registro sin procesar.
column1 timestamp_epoch Se asigna directamente desde el campo column1 en el registro sin procesar. Se usa para derivar metadata.event_timestamp.
column10 Varía Puede ser principal.process.command_line, object o number según el formato de registro.
column11 ddl o response o command_line2 Puede ser principal.resource.resource_subtype (ddl), security_result.outcomes.value (response) o parte de principal.process.command_line (command_line2) según el formato de registro.
column12 operation o response o command_line3 Puede ser sr.summary (operation), security_result.outcomes.value (response) o parte de principal.process.command_line (command_line3) según el formato de registro.
column13 database o response Puede ser target.resource.name (database) o security_result.outcomes.value (response) según el formato de registro.
column14 object Se asigna directamente a principal.resource.product_object_id o target_data.resource.name según el formato de registro.
column15 command_line Se asigna directamente a principal.process.command_line.
column16 response Se asigna directamente a security_result.outcomes.value.
column2 timestamp o timestamp_ms Se asigna directamente desde el campo column2 en el registro sin procesar.
column3 ip o hostname Puede ser principal.ip o principal.resource.name según el formato de registro.
column4 port o userid Puede ser principal.port o principal.user.userid según el formato de registro.
column5 userid o ip Puede ser principal.user.userid o principal.ip según el formato de registro.
column6 hostname o connection_id Puede ser principal.resource.name o network.session_id según el formato de registro.
column7 connection_id o query_id Puede ser network.session_id o principal.process.pid según el formato de registro.
column8 operation Se asigna directamente a sr.summary o metadata.product_event_type.
column9 query_id o database Puede ser principal.process.pid o target_data.resource.name según el formato de registro.
command_line principal.process.command_line Se asigna directamente desde el campo command_line extraído.
connection_id network.session_id Se asigna directamente desde el campo connection_id extraído.
database target.resource.name Se asigna directamente desde el campo database extraído. Se deriva de varios campos, como operation, command_line, has_principal_user y has_principal_machine, a través de la lógica condicional en el analizador. Puede ser RESOURCE_DELETION, RESOURCE_CREATION, RESOURCE_READ, RESOURCE_WRITTEN, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED o GENERIC_EVENT. Está codificado como "AWS_AURORA". Se asigna desde column8 o se deriva de la lógica del analizador. Está codificado como "AURORA". Está codificado como "AMAZON".
has_principal_machine has_principal_machine Se establece en "true" si principal.ip está presente; de lo contrario, se inicializa en "false".
has_principal_user has_principal_user Se establece en "true" si principal.user.userid está presente; de lo contrario, se inicializa en "false".
hostname principal.resource.name Se asigna directamente desde el campo hostname extraído.
ip principal.ip Se asigna directamente desde el campo ip extraído.
logevent.id security_result.detection_fields.value Anidado dentro de target.logEvents.logEvents, asignado con la clave "id".
logevent.message security_result.detection_fields.value Anidado dentro de target.logEvents.logEvents, asignado con la clave "message". Se usa para extraer principal.ip, time_unix, operation y user.
logevent.timestamp security_result.detection_fields.value Anidado dentro de target.logEvents.logEvents, asignado con la clave "timestamp".
object target_data.resource.name o principal.resource.product_object_id Se asigna directamente desde el campo object extraído.
operation sr.summary Se asigna directamente desde el campo operation extraído.
port principal.port Se asigna directamente desde el campo port extraído.
query_id principal.process.pid Se asigna directamente desde el campo query_id extraído.
response security_result.outcomes.value Se asigna directamente desde el campo response extraído.
service principal.application Se asigna directamente desde el campo service en el registro sin procesar.
src_ip principal.ip Se extrae de logevent.message dentro de la estructura target.logEvents.logEvents anidada.
target.logEvents.logGroup target.resource.attribute.labels.value Se asigna con la clave "logGroup".
target.logEvents.logStream target.resource.attribute.labels.value Se asigna con la clave "logStream".
target.logEvents.messageType target.resource.attribute.labels.value Se asigna con la clave "messageType".
target.logEvents.owner target.resource.attribute.labels.value Se asigna con la clave "owner".
timestamp_epoch metadata.event_timestamp Se convierte a metadata.event_timestamp con el filtro date.
user principal.user.userid Se extrae de logevent.message dentro de la estructura target.logEvents.logEvents anidada.
userid principal.user.userid Se asigna directamente desde el campo userid extraído.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.