Elasticsearch-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Elasticsearch-Logs mit Amazon S3 in Google Security Operations aufnehmen. Der Parser wandelt Rohlogs im JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Sie extrahiert Felder aus verschachtelten JSON-Strukturen, ordnet sie UDM-Feldern zu und reichert die Daten mit sicherheitsrelevantem Kontext wie Schweregraden und Nutzerrollen an.

Hinweise

• Eine Google SecOps-Instanz
• Berechtigter Zugriff auf die Elasticsearch-Clusterverwaltung
• Privilegierter Zugriff auf AWS (S3, IAM, EC2)
• EC2-Instanz oder dauerhafter Host zum Ausführen von Logstash

Elasticsearch-Voraussetzungen

1. Melden Sie sich als Administrator in Ihrem Elasticsearch-Cluster an.
2. Prüfen Sie, ob Ihr Elasticsearch-Abo Sicherheitsfunktionen enthält (für die Audit-Protokollierung erforderlich).
3. Notieren Sie sich den Namen und die Version Ihres Elasticsearch-Clusters.
4. Geben Sie den Pfad an, in den Audit-Logs geschrieben werden sollen (Standard: $ES_HOME/logs/<clustername>_audit.json).

Elasticsearch-Audit-Logging aktivieren

1. Bearbeiten Sie auf jedem Elasticsearch-Knoten die Konfigurationsdatei elasticsearch.yml.

2. Fügen Sie die folgende Einstellung hinzu:

   xpack.security.audit.enabled: true
   

3. Führen Sie einen rollierenden Neustart des Clusters durch, um die Änderungen zu übernehmen:

   • Shard-Zuweisung deaktivieren: PUT _cluster/settings {"persistent": {"cluster.routing.allocation.enable": "primaries"}}
   • Beenden Sie jeden Knoten einzeln und starten Sie ihn dann neu.
   • Aktivieren Sie die Shard-Zuweisung wieder: PUT _cluster/settings {"persistent": {"cluster.routing.allocation.enable": null}}

4. Prüfen Sie, ob Audit-Logs im Logverzeichnis unter <clustername>_audit.json generiert werden.

AWS S3-Bucket und IAM für Google SecOps konfigurieren

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. elastic-search-logs).
3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
15. Wählen Sie Berechtigungen hinzufügen aus.
16. Wählen Sie Richtlinien direkt anhängen aus.
17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
18. Wählen Sie die Richtlinie aus.
19. Klicken Sie auf Weiter.
20. Klicken Sie auf Berechtigungen hinzufügen.

Logstash so konfigurieren, dass Audit-Logs an S3 gesendet werden

1. Installieren Sie Logstash auf einer EC2-Instanz oder einem persistenten Host, der auf die Elasticsearch-Audit-Logdateien zugreifen kann.

2. Installieren Sie das S3-Ausgabe-Plug-in, falls es noch nicht vorhanden ist:

   bin/logstash-plugin install logstash-output-s3
   

3. Erstellen Sie eine Logstash-Konfigurationsdatei (elastic-to-s3.conf):

   input {
     file {
       path => "/path/to/elasticsearch/logs/*_audit.json"
       start_position => "beginning"
       codec => "json"              # audit file: 1 JSON object per line
       sincedb_path => "/var/lib/logstash/sincedb_elastic_search"
       exclude => ["*.gz"]
     }
   }
   
   filter {
     # Intentionally minimal: do NOT reshape audit JSON the ELASTIC_SEARCH parser expects.
     # If you must add metadata for ops, put it under [@metadata] so it won't be written.
     # ruby { code => "event.set('[@metadata][ingested_at]', Time.now.utc.iso8601)" }
   }
   
   output {
     s3 {
       access_key_id => "YOUR_AWS_ACCESS_KEY"
       secret_access_key => "YOUR_AWS_SECRET_KEY"
       region => "us-east-1"
       bucket => "elastic-search-logs"
       prefix => "logs/%{+YYYY}/%{+MM}/%{+dd}/"
   
       codec => "json_lines"        # NDJSON output (1 JSON object per line)
       encoding => "gzip"           # compress objects
   
       server_side_encryption => true
       # Optionally for KMS:
       # server_side_encryption_kms_key_id => "arn:aws:kms:REGION:ACCT:key/KEY_ID"
   
       size_file => 104857600       # 100MB rotation
       time_file => 300             # 5 min rotation
     }
   }
   

4. Starten Sie Logstash mit der Konfiguration:

   bin/logstash -f elastic-to-s3.conf
   

Optional: IAM-Nutzer mit Lesezugriff für Google SecOps erstellen

1. Rufen Sie die AWS-Konsole > IAM > Nutzer > Nutzer hinzufügen auf.
2. Klicken Sie auf Add users (Nutzer hinzufügen).
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Nutzer: Geben Sie secops-reader ein.
   • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
4. Klicken Sie auf Nutzer erstellen.
5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::elastic-search-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::elastic-search-logs"
       }
     ]
   }
   

7. Legen Sie secops-reader-policy als Name fest.

8. Gehen Sie zu Richtlinie erstellen> suchen/auswählen > Weiter > Berechtigungen hinzufügen.

9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

10. Laden Sie die CSV herunter (diese Werte werden in den Feed eingegeben).

Feed in Google SecOps konfigurieren, um Elasticsearch-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf + Neuen Feed hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Elasticsearch Logs.
4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
5. Wählen Sie Elastic Search als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • S3-URI: s3://elastic-search-logs/logs/
   • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten