收集 AWS IAM 記錄

本文說明如何將 AWS IAM 記錄擷取至 Google Security Operations。剖析器會將原始 JSON 格式的記錄轉換為結構化統一資料模型 (UDM)。這項功能會擷取相關欄位，例如使用者詳細資料、角色資訊、權限和時間戳記，並將這些欄位對應至相應的 UDM 欄位，以進行一致的安全性分析。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• AWS 管理介面的特殊存取權
• 建立 IAM 使用者、角色和政策的權限

選擇整合方式

Google SecOps 支援兩種擷取 AWS IAM 資料的方法：

方法 A：CloudTrail + Amazon S3 (活動記錄)

• 收集內容：IAM 活動記錄 (誰執行了哪些動作)
• 資料來源：AWS CloudTrail 事件
• 延遲時間：幾分鐘 (輪詢式)
• 用途：歷來稽核追蹤記錄、法規遵循報表
• 動態饋給來源類型：Amazon S3 V2

方法 B：第三方 API (設定快照)

• 收集的資料：IAM 設定資料 (使用者、群組、角色、政策)
• 資料來源：AWS IAM API 直接呼叫
• 延遲時間：近乎即時 (定期輪詢)
• 用途：即時監控 IAM 設定、存取權審查
• 動態饋給來源類型：第三方 API

方法 A：整合 CloudTrail 和 Amazon S3

這個方法會使用 AWS CloudTrail 擷取 IAM 活動，並將記錄檔儲存在 Amazon S3 中，然後由 Google SecOps 擷取。

建立 Amazon S3 儲存貯體

1. 按照這份使用者指南建立 Amazon S3 bucket：建立 bucket。
2. 儲存 bucket 的「名稱」和「地區」，以供日後參考 (例如 iam-activity-logs-bucket)。

設定 CloudTrail 的 S3 儲存空間政策

CloudTrail 需要權限，才能將記錄寫入 S3 儲存貯體。

1. 在 Amazon S3 控制台中，選取所需值區。
2. 依序前往「Permissions」>「Bucket policy」。

3. 按一下「編輯」，然後新增下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailAclCheck",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:GetBucketAcl",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
       },
       {
         "Sid": "CloudTrailWrite",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
         "Condition": {
           "StringEquals": {
             "s3:x-amz-acl": "bucket-owner-full-control"
           }
         }
       }
     ]
   }
   

   • 請將 iam-activity-logs-bucket 替換成實際值區名稱。

4. 按一下 [儲存變更]。

設定 CloudTrail 以擷取 IAM 活動

1. 登入 AWS 管理主控台。
2. 在搜尋列中輸入並選取服務清單中的 CloudTrail。
3. 按一下「建立路徑」。
4. 請提供下列設定詳細資料：
   • 記錄名稱：輸入描述性名稱 (例如 IAMActivityTrail)。
   • 將追蹤記錄套用至所有區域：選取「是」，即可擷取所有區域的活動。
   • 儲存位置：選取「使用現有 S3 bucket」，然後選擇先前建立的 bucket。
   • 記錄檔前置字串 (選填)：輸入前置字串 (例如 iam-logs/)。
   • 記錄檔 SSE-KMS 加密：選用。如果已啟用，請建立或選取 KMS 金鑰。
5. 點選「下一步」。
6. 設定事件選取項目：
   • 管理事件：選取「讀取」和「寫入」，擷取 IAM 資源的讀取和寫入事件。
   • 資料事件：選用。如有需要，請啟用 S3 和 Lambda 資料事件。
   • 洞察事件：選用。啟用這項功能可偵測異常活動。
7. 點選「下一步」。
8. 檢查設定，然後按一下「建立追蹤記錄」。

選用：啟用 S3 儲存貯體版本管理功能 (建議)

1. 在 Amazon S3 主控台中，選取所需值區。
2. 依序前往「屬性」> Bucket 版本控管」。
3. 按一下 [編輯]。
4. 選取「Enable」(啟用)。
5. 按一下 [儲存變更]。

建立 IAM 使用者，以便存取 Google SecOps S3

1. 請按照這份使用者指南建立使用者：建立 IAM 使用者。
2. 選取建立的「使用者」。
3. 選取「安全憑證」分頁標籤。
4. 在「Access Keys」部分中，按一下「Create Access Key」。
5. 選取「第三方服務」做為「用途」。
6. 點選「下一步」。
7. 選用：新增說明標記。
8. 按一下「建立存取金鑰」。
9. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
10. 按一下 [完成]。
11. 選取 [權限] 分頁標籤。
12. 在「權限政策」部分中，按一下「新增權限」。
13. 選取「新增權限」。
14. 選取「直接附加政策」。
15. 在新分頁中點選「建立政策」。
16. 在「政策編輯器」中，選取「JSON」分頁標籤。

17. 輸入下列政策：

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::iam-activity-logs-bucket",
            "arn:aws:s3:::iam-activity-logs-bucket/*"
          ]
        }
      ]
    }
    

    • 請將 iam-activity-logs-bucket 替換成實際值區名稱。

18. 點選「下一步」。

19. 將政策命名為 chronicle-s3-read-policy。

20. 點選「建立政策」。

21. 返回使用者建立分頁，然後重新整理政策清單。

22. 搜尋並選取 chronicle-s3-read-policy。

23. 點選「下一步」。

24. 按一下「Add permissions」。

選用：建立 Lambda 函式以進行即時匯出

如要將 CloudTrail 記錄近乎即時匯出至 S3，請按照下列步驟操作：

1. 在 AWS 控制台中，依序前往「Lambda」>「Functions」>「Create function」。
2. 按一下「從頭開始撰寫」。

3. 請提供下列設定詳細資料：

   設定	值
   名稱	ExportIAMLogsToS3
   執行階段	Python 3.13
   架構	x86_64
   執行角色	建立具有基本 Lambda 權限的新角色

4. 按一下「Create function」(建立函式)。

5. 建立函式後，開啟「程式碼」分頁，刪除存根並輸入下列程式碼：

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='iam-activity-logs-bucket',
           Key=f'iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   
       return {
           'statusCode': 200,
           'body': 'Logs exported successfully'
       }
   

   • 請將 iam-activity-logs-bucket 替換成您的值區名稱。

6. 按一下「部署」即可儲存函式程式碼。

選用：設定 Lambda 執行角色權限

1. 在同一個函式中，選取「設定」分頁標籤。
2. 選取左選單中的「權限」。
3. 按一下「執行角色」名稱，在 IAM 控制台中開啟。
4. 依序點選「新增權限」>「附加政策」。
5. 在新分頁中點選「建立政策」。

6. 選取「JSON」分頁，然後貼上下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
       }
     ]
   }
   

   • 請將 iam-activity-logs-bucket 替換成您的值區名稱。

7. 點選「下一步」。

8. 將政策命名為 lambda-iam-logs-export-policy。

9. 點選「建立政策」。

10. 返回「角色」分頁並重新整理。

11. 搜尋並選取 lambda-iam-logs-export-policy。

12. 按一下「Add permissions」。

選用：設定 Lambda 超時

1. 在 Lambda 函式中，保留在「設定」分頁。
2. 選取左選單中的「一般設定」。
3. 按一下 [編輯]。
4. 將「Timeout」(逾時間隔) 變更為 5 分鐘 (300 秒)。
5. 按一下 [儲存]。

選用：設定 CloudWatch Logs 的 Lambda 觸發條件

1. 在 Lambda 函式中，選取頂端的「Function overview」(函式總覽) 部分。
2. 按一下 [Add trigger] (新增觸發條件)。
3. 在「Trigger configuration」(觸發條件設定) 下拉式選單中，選取「CloudWatch Logs」(CloudWatch 記錄)。
4. 請提供下列設定詳細資料：
   • 日誌群組：選取或輸入與 CloudTrail 相關聯的 CloudWatch Logs 日誌群組 (例如 /aws/cloudtrail/)。
   • 篩選器名稱：輸入描述性名稱 (例如 IAM-events-filter)。
   • 篩選器模式：留空可擷取所有事件，或輸入特定模式。
5. 按一下「新增」。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 依序點選「SIEM 設定」>「動態消息」>「新增動態消息」
• 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS IAM 動態饋給

1. 按一下「Amazon Cloud Platform」套件。
2. 找出 AWS IAM 記錄類型。

3. 在下列欄位中指定值。

   • 來源類型：第三方 API
   • 使用者名稱：用於驗證的使用者名稱
   • 密鑰：用於驗證的密鑰

   進階選項

   • 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
   • 資產命名空間：與動態饋給相關聯的命名空間。
   • 擷取標籤：套用至這個動態饋給中所有事件的標籤。

4. 點選「建立動態饋給」。

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

使用 SIEM 設定

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 AWS IAM CloudTrail Logs)。
5. 選取「Amazon S3 V2」做為「來源類型」。
6. 選取「AWS IAM」做為「記錄類型」。
7. 點選「下一步」。

8. 指定下列輸入參數的值：

   • S3 URI：s3://iam-activity-logs-bucket/

     • 請將 iam-activity-logs-bucket 替換成實際值區名稱。

   • 來源刪除選項：根據偏好設定選取刪除選項：

     • 永不：移轉後一律不刪除任何檔案 (建議用於測試)。
     • 成功後：成功移轉後刪除所有檔案和空白目錄 (可節省費用)。

   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。

   • 存取金鑰 ID：具有 S3 儲存空間存取權的使用者存取金鑰。

   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。

   • 資產命名空間：資產命名空間。

   • 擷取標籤：要套用至這個動態饋給事件的標籤。

9. 點選「下一步」。

10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

方法 B：整合第三方 API

這個方法會直接呼叫 AWS IAM API，收集目前的 IAM 設定資料 (使用者、群組、角色、政策)。

取得 Google SecOps IP 範圍

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 請注意頁面頂端顯示的 IP 範圍。
4. 或者，您也可以使用 Feed Management API，透過程式擷取 IP 範圍。

建立具備必要權限的 IAM 使用者

選項 A：使用 AWS 受管理政策 (建議)

1. 請按照這份使用者指南建立使用者：建立 IAM 使用者。
2. 選取建立的「使用者」。
3. 選取「安全憑證」分頁標籤。
4. 在「Access Keys」部分中，按一下「Create Access Key」。
5. 選取「第三方服務」做為「用途」。
6. 點選「下一步」。
7. 選用：新增說明標記。
8. 按一下「建立存取金鑰」。
9. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
10. 按一下 [完成]。
11. 選取 [權限] 分頁標籤。
12. 在「權限政策」部分中，按一下「新增權限」。
13. 選取「新增權限」。
14. 選取「直接附加政策」。
15. 搜尋 IAMReadOnlyAccess (AWS 代管政策)。
16. 選取政策。
17. 點選「下一步」。
18. 按一下「Add permissions」。

重要事項：IAMReadOnlyAccess 政策包含所有必要權限：

• iam:GetUser
• iam:ListUsers
• iam:GetGroup
• iam:ListGroups
• iam:GetPolicy
• iam:ListPolicies
• iam:GetRole
• iam:ListRoles
• iam:ListAttachedUserPolicies
• iam:ListAttachedGroupPolicies
• iam:ListAttachedRolePolicies
• iam:GetAccountSummary

方法 B：建立自訂政策 (最低權限)

如果安全性政策要求使用最低權限，而非受管理政策：

1. 在 AWS 控制台中，依序前往「IAM」>「Policies」>「Create policy」>「JSON」分頁標籤。

2. 貼上下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "iam:GetUser",
           "iam:ListUsers",
           "iam:GetGroup",
           "iam:ListGroups",
           "iam:GetPolicy",
           "iam:ListPolicies",
           "iam:GetRole",
           "iam:ListRoles",
           "iam:ListAttachedUserPolicies",
           "iam:ListAttachedGroupPolicies",
           "iam:ListAttachedRolePolicies",
           "iam:GetAccountSummary"
         ],
         "Resource": "*"
       }
     ]
   }
   

3. 點選「下一步」。

4. 將政策命名為 chronicle-iam-api-read-policy。

5. 點選「建立政策」。

6. 請按照這份使用者指南建立使用者：建立 IAM 使用者。

7. 選取建立的「使用者」。

8. 選取「安全憑證」分頁標籤。

9. 在「Access Keys」部分中，按一下「Create Access Key」。

10. 選取「第三方服務」做為「用途」。

11. 點選「下一步」。

12. 選用：新增說明標記。

13. 按一下「建立存取金鑰」。

14. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後參考。

15. 按一下 [完成]。

16. 選取 [權限] 分頁標籤。

17. 在「權限政策」部分中，按一下「新增權限」。

18. 選取「新增權限」。

19. 選取「直接附加政策」。

20. 搜尋並選取 chronicle-iam-api-read-policy。

21. 點選「下一步」。

22. 按一下「Add permissions」。

在 Google SecOps 中設定動態饋給，擷取 IAM 設定資料

使用內容中心 (建議)

1. 依序前往「內容中心」>「內容套件」>「開始使用」。
2. 按一下「Amazon Cloud Platform」套件。
3. 找出 AWS IAM 記錄類型。
4. 從「來源類型」下拉式選單中選取「第三方 API」。
5. 請提供下列設定詳細資料：
   • 使用者名稱：先前建立的 IAM 使用者存取金鑰 ID。
   • Secret：先前建立的 IAM 使用者存取密鑰。
   • 動態饋給名稱：系統預先填入的值，用於識別動態饋給 (例如 AWS IAM API Configuration)。
   • 資產命名空間：與動態饋給相關聯的命名空間。
   • 擷取標籤：套用至這個動態饋給中所有事件的標籤。
6. 點選「建立動態饋給」。

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

使用 SIEM 設定

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 AWS IAM API Configuration)。
5. 選取「第三方 API」做為「來源類型」。
6. 選取「AWS IAM」做為「記錄類型」。
7. 點選「下一步」。

8. 指定下列輸入參數的值：

   • 使用者名稱：先前建立的 IAM 使用者存取金鑰 ID。
   • Secret：先前建立的 IAM 使用者存取密鑰。
   • 區域：AWS 區域 (例如 us-east-1)。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。

9. 點選「下一步」。

10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

UDM 對應表

記錄欄位	UDM 對應	邏輯
Arn	entity.entity.resource.name	直接從 ARN 欄位對應。適用於各種實體類型。如果是 GROUP 實體類型，則會從 Group.Arn 對應。
AssumeRolePolicyDocument	entity.entity.resource.attribute.permissions.name	直接從 AssumeRolePolicyDocument 欄位對應，但僅適用於 RESOURCE 實體類型。
CreateDate	entity.entity.user.attribute.creation_time	直接從 CreateDate 欄位對應，並轉換為 Chronicle 的時間戳記格式。
CreateDate	entity.entity.resource.attribute.creation_time	直接從 CreateDate 欄位對應，並轉換為 Chronicle 的時間戳記格式。
Group.Arn	entity.entity.resource.name	直接從 Group.Arn 欄位對應。
Group.CreateDate	entity.entity.group.attribute.creation_time	直接從 Group.CreateDate 欄位對應，並轉換為 Chronicle 的時間戳記格式。
Group.GroupID	entity.entity.group.product_object_id	直接從 Group.GroupID 欄位對應。
Group.GroupName	entity.entity.group.group_display_name	直接從 Group.GroupName 欄位對應。
Group.GroupName	entity.entity.group.email_addresses	直接從 Group.GroupName 欄位對應。
Group.Path	entity.entity.group.attribute.labels.value	這個鍵是直接從 Group.Path 欄位對應而來，且已硬式編碼為路徑。
IsTruncated	entity.entity.group.attribute.labels.value	直接從轉換為字串的 IsTruncated 欄位對應，索引鍵會硬式編碼為 is_truncated。
Marker	entity.entity.group.attribute.labels.value	直接從「標記」欄位對應，金鑰會硬式編碼為標記。
PasswordLastUsed	entity.entity.user.last_login_time	直接從 PasswordLastUsed 欄位對應，並轉換為 Chronicle 的時間戳記格式。
Path	entity.entity.user.attribute.labels.value	直接從 USER 實體類型的「路徑」欄位對應，金鑰會硬式編碼至路徑。
Path	entity.entity.resource.attribute.labels.value	直接從 RESOURCE 實體類型的「路徑」欄位對應，金鑰會硬式編碼至路徑。
PermissionsBoundary.PermissionsBoundaryArn	entity.entity.resource.attribute.labels.value	直接從 PermissionsBoundary.PermissionsBoundaryArn 欄位對應，金鑰會硬式編碼為 permissions_boundary_arn。
PermissionsBoundary.PermissionsBoundaryType	entity.entity.resource.attribute.labels.value	直接從 PermissionsBoundary.PermissionsBoundaryType 欄位對應，金鑰會硬式編碼為 permissions_boundary_type。
RoleID	entity.entity.resource.product_object_id	直接從 RoleID 欄位對應。
RoleLastUsed.LastUsedDate	entity.entity.resource.attribute.labels.value	直接從 RoleLastUsed.LastUsedDate 欄位對應，金鑰會硬式編碼為 role_last_used_date。
RoleLastUsed.Region	entity.entity.location.name	直接從 RoleLastUsed.Region 欄位對應。
RoleName	entity.entity.resource.attribute.roles.name	直接從 RoleName 欄位對應。
Tags.Key	entity.entity.user.attribute.labels.key	用做使用者實體中標籤的鍵。
Tags.Value	entity.entity.user.attribute.labels.value	做為使用者實體中標籤的值。
UserID	entity.entity.user.product_object_id	直接從 UserID 欄位對應。
UserName	entity.entity.user.userid	直接從 UserName 欄位對應。
Users.Arn	relations.entity.resource.name	直接從使用者關係中的 Users.Arn 欄位對應。
Users.CreateDate	relations.entity.user.attribute.creation_time	直接從使用者關係中的 Users.CreateDate 欄位對應，並轉換為 Chronicle 的時間戳記格式。
Users.PasswordLastUsed	relations.entity.user.last_login_time	直接從使用者關係中的 Users.PasswordLastUsed 欄位對應，並轉換為 Chronicle 的時間戳記格式。
Users.Path	relations.entity.user.attribute.labels.value	直接從使用者關係中的 Users.Path 欄位對應，金鑰會硬式編碼至路徑。
Users.PermissionsBoundary.PermissionsBoundaryArn	relations.entity.resource.attribute.labels.value	直接從使用者關係中的 Users.PermissionsBoundary.PermissionsBoundaryArn 欄位對應，金鑰會硬式編碼為 permissions_boundary_arn。
Users.PermissionsBoundary.PermissionsBoundaryType	relations.entity.resource.attribute.labels.value	直接從使用者關係中的 Users.PermissionsBoundary.PermissionsBoundaryType 欄位對應，金鑰會硬式編碼為 permissions_boundary_type。
Users.UserID	relations.entity.user.product_object_id	直接從使用者關係中的 Users.UserID 欄位對應。
Users.UserName	relations.entity.user.userid	直接從使用者關係中的 Users.UserName 欄位對應。
不適用	entity.metadata.collected_timestamp	填入事件擷取時間戳記。
不適用	entity.metadata.vendor_name	硬式編碼至 AWS。
不適用	entity.metadata.product_name	硬式編碼至 AWS IAM。
不適用	entity.metadata.entity_type	根據特定欄位是否存在而決定：如果存在 UserID，則為 USER；如果存在 RoleID，則為 RESOURCE；如果存在 Group.GroupName，則為 GROUP。
不適用	entity.entity.resource.resource_subtype	如果是 USER 實體類型，請設為「使用者」；如果是 RESOURCE 實體類型，請設為「角色」。
不適用	entity.entity.resource.resource_type	針對 RESOURCE 實體類型設為 ACCESS_POLICY。
不適用	entity.entity.resource.attribute.cloud.environment	硬式編碼為 AMAZON_WEB_SERVICES。
不適用	relations.entity_type	使用者關係的硬式編碼為 USER。
不適用	relations.relationship	使用者群組關係的硬式編碼為 MEMBER。
不適用	relations.direction	硬式編碼為 UNIDIRECTIONAL。
不適用	relations.entity.resource.resource_subtype	針對使用者關係硬式編碼為「使用者」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。