Raccogliere i log di AWS Session Manager

Supportato in:

Questo documento spiega come importare i log di AWS Session Manager in Google Security Operations. AWS Session Manager fornisce un accesso sicuro e controllabile alle istanze Amazon EC2 e ai server on-premise. Integrando i log in Google SecOps, puoi migliorare la tua postura di sicurezza e monitorare gli eventi di accesso remoto.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso con privilegi ad AWS

Configurare AWS IAM e S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per utilizzarli in un secondo momento.
  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per utilizzarle in un secondo momento.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri di autorizzazione.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Come configurare AWS Session Manager per salvare i log in S3

  1. Vai alla console di AWS Systems Manager.
  2. Nel riquadro di navigazione, seleziona Session Manager.
  3. Fai clic sulla scheda Preferenze.
  4. Fai clic su Modifica.
  5. In Registrazione S3, seleziona la casella di controllo Abilita.
  6. Deseleziona la casella di controllo Consenti solo bucket S3 criptati.
  7. Seleziona un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log delle sessioni.
  8. Inserisci il nome di un bucket Amazon S3 già creato nel tuo account per archiviare i dati dei log delle sessioni.
  9. Fai clic su Salva.

Configura i feed

Esistono due punti di accesso diversi per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed di AWS Session Manager

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS Session Manager.

  3. Specifica i valori nei seguenti campi.

    • Tipo di origine: Amazon SQS V2
    • Nome coda: il nome della coda SQS da cui leggere
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket S3.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Maximum File Age (Età massima dei file): includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • SQS Queue Access Key ID (ID chiave di accesso alla coda SQS): una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.

    • SQS Queue Secret Access Key (Chiave di accesso segreta alla coda SQS): una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Asset Namespace (Spazio dei nomi degli asset): spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configura i feed per prodotto.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
--cid metadata.description Parte del campo della descrizione, se presente nel log
--collector.filesystem.ignored-mount-points metadata.description Parte del campo della descrizione, se presente nel log
--collector.vmstat.fields metadata.description Parte del campo della descrizione, se presente nel log
--message-log metadata.description Parte del campo della descrizione, se presente nel log
--name metadata.description Parte del campo della descrizione, se presente nel log
--net metadata.description Parte del campo della descrizione, se presente nel log
--path.procfs metadata.description Parte del campo della descrizione, se presente nel log
--path.rootfs metadata.description Parte del campo della descrizione, se presente nel log
--path.sysfs metadata.description Parte del campo della descrizione, se presente nel log
-v /:/rootfs:ro metadata.description Parte del campo della descrizione, se presente nel log
-v /proc:/host/proc metadata.description Parte del campo della descrizione, se presente nel log
-v /sys:/host/sys metadata.description Parte del campo della descrizione, se presente nel log
CID metadata.description Parte del campo della descrizione, se presente nel log
ERROR security_result.severity Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok.
falconctl metadata.description Parte del campo della descrizione, se presente nel log
ip-1-2-4-2 principal.ip Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok e convertito in un formato di indirizzo IP standard.
ip-1-2-8-6 principal.ip Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok e convertito in un formato di indirizzo IP standard.
java target.process.command_line Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok.
Jun13 metadata.event_timestamp.seconds Parte del campo del timestamp, se presente nel log, combinato con i campi month_date e time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok.
root principal.user.userid Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok.
metadata.event_type Determinato in base alla presenza e ai valori di altri campi:
- "STATUS_UPDATE" se è presente src_ip.
- "NETWORK_CONNECTION" se sono presenti sia src_ip che dest_ip.
- "USER_UNCATEGORIZED" se è presente user_id.
- "GENERIC_EVENT" in caso contrario.
metadata.log_type Impostato su "AWS_SESSION_MANAGER".
metadata.product_name Impostato su "AWS Session Manager".
metadata.vendor_name Impostato su "Amazon".
target.process.pid Estratto dal messaggio di log utilizzando la corrispondenza dei pattern grok.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.