Collecter les journaux AWS Session Manager

Compatible avec :

Ce document explique comment ingérer les journaux AWS Session Manager dans Google Security Operations. AWS Session Manager fournit un accès sécurisé et auditable aux instances Amazon EC2 et aux serveurs sur site. En intégrant ses journaux à Google SecOps, vous pouvez améliorer votre niveau de sécurité et suivre les événements d'accès à distance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à AWS

Configurer AWS IAM et S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Security credentials (Identifiants de sécurité).
  6. Cliquez sur Create Access Key (Créer une clé d'accès) dans la section Access Keys (Clés d'accès).
  7. Sélectionnez Third-party service (Service tiers) comme Use case (Cas d'utilisation).
  8. Cliquez sur Next (Suivant).
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Create access key (Créer une clé d'accès).
  11. Cliquez sur Download CSV file (Télécharger le fichier CSV) pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Permissions (Autorisations).
  14. Cliquez sur Add permissions (Ajouter des autorisations) dans la section Permissions policies (Règles d'autorisation).
  15. Sélectionnez Add permissions (Ajouter des autorisations).
  16. Sélectionnez Attach policies directly (Associer des règles directement).
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Next (Suivant).
  19. Cliquez sur Add permissions (Ajouter des autorisations).

Configurer AWS Session Manager pour enregistrer les journaux dans S3

  1. Accédez à la console AWS Systems Manager.
  2. Dans le volet de navigation, sélectionnez Session Manager.
  3. Cliquez sur l'onglet Preferences (Préférences).
  4. Cliquez sur Edit (Modifier).
  5. Sous "S3 logging" (Journalisation S3), cochez la case Enable (Activer).
  6. Décochez la case Allow only encrypted S3 buckets (Autoriser uniquement les buckets S3 chiffrés).
  7. Sélectionnez un bucket Amazon S3 déjà créé dans votre compte pour stocker les données de journal de session.
  8. Saisissez le nom d'un bucket Amazon S3 déjà créé dans votre compte pour stocker les données de journal de session.
  9. Cliquez sur Save (Enregistrer).

Configurer des flux

Il existe deux points d'entrée différents pour configurer des flux dans la plate-forme Google SecOps :

  • SIEM Settings > Feeds > Add New Feed (Paramètres SIEM > Flux > Ajouter un flux)
  • Content Hub > Content Packs > Get Started (Hub de contenu > Packs de contenu > Premiers pas)

Configurer le flux AWS Session Manager

  1. Cliquez sur le pack Amazon Cloud Platform.
  2. Recherchez le type de journal AWS Session Manager.

  3. Spécifiez les valeurs dans les champs suivants.

    • Source Type (Type de source) : Amazon SQS V2
    • Queue Name (Nom de la file d'attente) : nom de la file d'attente SQS à partir de laquelle effectuer la lecture
    • S3 URI : URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel de votre bucket S3.

    • Source deletion options (Options de suppression de la source) : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • Maximum File Age (Ancienneté maximale des fichiers) : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • SQS Queue Access Key ID (ID de clé d'accès à la file d'attente SQS) : clé d'accès au compte qui est une chaîne alphanumérique de 20 caractères.

    • SQS Queue Secret Access Key (Clé d'accès secrète à la file d'attente SQS) : clé d'accès au compte qui est une chaîne alphanumérique de 40 caractères.

    Options avancées

    • Feed Name (Nom du flux) : valeur préremplie qui identifie le flux.
    • Asset Namespace (Espace de noms de l'actif) : espace de noms associé au flux.
    • Ingestion Labels (Libellés d'ingestion) : libellés appliqués à tous les événements de ce flux.

  4. Cliquez sur Create feed (Créer un flux).

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux au sein de cette famille de produits, consultez Configurer des flux par produit.

Table de mappage UDM

Champ du journal Mappage UDM Logique
--cid metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--collector.filesystem.ignored-mount-points metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--collector.vmstat.fields metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--message-log metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--name metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--net metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.procfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.rootfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
--path.sysfs metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /:/rootfs:ro metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /proc:/host/proc metadata.description Partie du champ de description lorsqu'il est présent dans le journal
-v /sys:/host/sys metadata.description Partie du champ de description lorsqu'il est présent dans le journal
CID metadata.description Partie du champ de description lorsqu'il est présent dans le journal
ERROR security_result.severity Extrait du message de journal à l'aide de la correspondance de modèle grok.
falconctl metadata.description Partie du champ de description lorsqu'il est présent dans le journal
ip-1-2-4-2 principal.ip Extrait du message de journal à l'aide de la correspondance de modèle grok et converti au format d'adresse IP standard.
ip-1-2-8-6 principal.ip Extrait du message de journal à l'aide de la correspondance de modèle grok et converti au format d'adresse IP standard.
java target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèle grok.
Jun13 metadata.event_timestamp.seconds Partie du champ d'horodatage lorsqu'il est présent dans le journal, combinée aux champs month_date et time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Extrait du message de journal à l'aide de la correspondance de modèle grok.
root principal.user.userid Extrait du message de journal à l'aide de la correspondance de modèle grok.
metadata.event_type Déterminé en fonction de la présence et des valeurs d'autres champs :
- "STATUS_UPDATE" si src_ip est présent.
- "NETWORK_CONNECTION" si src_ip et dest_ip sont présents.
- "USER_UNCATEGORIZED" si user_id est présent.
- "GENERIC_EVENT" sinon.
metadata.log_type Défini sur "AWS_SESSION_MANAGER".
metadata.product_name Défini sur "AWS Session Manager".
metadata.vendor_name Défini sur "Amazon".
target.process.pid Extrait du message de journal à l'aide de la correspondance de modèle grok.

Journal des modifications

Consulter le journal des modifications de ce analyseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.