AWS CloudWatch in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie AWS CloudWatch in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 6.0

Anwendungsbereiche

Aktive Aktionen: In Logs suchen, Loggruppen/-streams erstellen, Loggruppen/-streams löschen, Aufbewahrungsrichtlinien aktualisieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
AWS-Zugriffsschlüssel-ID String Ja AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll.
AWS-Secret-Key Passwort Ja Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll.
Standardmäßige AWS-Region String Ja Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-2“.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Ping

Verbindung zu AWS CloudWatch testen

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Bei Erfolg: „Successfully connected to the AWS CloudWatch server with the provided connection parameters!“ (Die Verbindung zum AWS CloudWatch-Server wurde mit den angegebenen Verbindungsparametern hergestellt.)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if not successful: "Failed to connect to the AWS CloudWatch server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Loggruppen auflisten

Listet die verfügbaren Loggruppen in AWS CloudWatch auf.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Maximale Anzahl zurückzugebender Gruppen Ganzzahl 50 Nein Geben Sie an, wie viele Gruppen zurückgegeben werden sollen. Standard: 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1611581795766,
        "logGroupName": "CloudTrail/DefaultLogGroup",
        "metricFilterCount": 0,
        "storedBytes": 24529015
    },
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1606993203235,
        "logGroupName": "Example",
        "metricFilterCount": 1,
        "storedBytes": 730
    },
    {
        "arn": "arn:aws:logs:us-east-1:",
        "creationTime": 1611652265055,
        "logGroupName": "aws-cloudtrail-logs",
        "metricFilterCount": 0,
        "storedBytes": 51354815
    }
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Wenn Daten verfügbar sind (is_success = true): „Successfully returned available log groups in AWS CloudWatch“ (Verfügbare Loggruppen in AWS CloudWatch wurden erfolgreich zurückgegeben).

Wenn keine Daten verfügbar sind (is_success = true): „No log groups were found in AWS CloudWatch“ (Es wurden keine Loggruppen in AWS CloudWatch gefunden).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Error executing action ‚List Log Groups‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Name: „Log Groups“

Spalte:

Name

Anzahl der Messwertfilter

Gespeicherte Byte

Erstellungszeitpunkt

 Allgemein

Log-Streams auflisten

Listet verfügbare Logstreams in AWS CloudWatch auf.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Protokollgruppen CSV Ja Geben Sie eine durch Kommas getrennte Liste von Gruppennamen an, für die Sie Logstreams abrufen möchten.
Sortieren nach DDL

Name des Logstreams

Mögliche Werte:

Name des Log-Streams

Zeitpunkt des letzten Ereignisses

Nein Geben Sie an, wie die Logstreams sortiert werden sollen.
Sortierreihenfolge DDL

Aufsteigend

Mögliche Werte:

Aufsteigend

Absteigend

 Nein Geben Sie an, welche Sortierreihenfolge verwendet werden soll.
Maximale Anzahl zurückzugebender Streams Ganzzahl 50 Nein Geben Sie an, wie viele Streams pro Loggruppe zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
    "group":"{group name}"
"logStreams": [
        {
            "arn": "arn:aws:logs:us-east-1:log-group:aws-cloudtrail-logs:log-stream:CloudTrail_us-east-1",
            "creationTime": 1611652272827,
            "firstEventTimestamp": 1611652287716,
            "lastEventTimestamp": 1612271538268,
            "lastIngestionTime": 1612271538289,
            "logStreamName": "CloudTrail_us-east-1",
            "storedBytes": 0,
            "uploadSequenceToken": "49039859450784908968417870788122674924958823185025535393"
        }
    ]
}
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
Wenn Daten für mindestens eine Loggruppe verfügbar sind (is_success = true): „Successfully returned available log streams for the following log groups in AWS CloudWatch: {group names}“ (Die verfügbaren Logstreams für die folgenden Loggruppen in AWS CloudWatch wurden erfolgreich zurückgegeben: {group names}).

Wenn für mindestens eine Loggruppe keine Daten verfügbar sind (is_success = true): „Die Aktion konnte keine verfügbaren Logstreams für die folgenden Loggruppen in AWS CloudWatch zurückgeben: {group names}“.

Wenn für mindestens eine Loggruppe keine Daten verfügbar sind (is_success = false): „Für die angegebenen Loggruppen wurden in AWS CloudWatch keine Logstreams gefunden.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Log-Streams auflisten‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Name: „{Group Name}: Log Streams“

Spalte:

Name

Gespeicherte Byte

Erstellungszeitpunkt

Zeitstempel des letzten Ereignisses

Allgemein

Suchprotokollereignis

Suchen Sie in AWS CloudWatch nach Protokollereignissen.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Protokollgruppe String Ja Geben Sie den Namen der Loggruppe an, in der Sie nach Ereignissen suchen möchten.
Log-Streams CSV Nein Geben Sie eine durch Kommas getrennte Liste von Logstreams an, in denen Sie nach Ereignissen suchen möchten.
Zeitraum DDL

Letzte Stunde

Mögliche Werte:

Letzte Stunde

Letzte 6 Stunden

Letzte 24 Stunden

Letzte Woche

Letzter Monat

Benutzerdefiniert

 Nein Geben Sie einen Zeitraum für die Suche an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch eine „Startzeit“ festlegen.
Beginn String Nein Geben Sie die Startzeit für die Suche an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601
Ende String Nein Geben Sie die Endzeit für die Suche an. Format: ISO 8601. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet.
Benutzerdefinierter Filter String Nein Geben Sie den benutzerdefinierten Filter für die Suche an. Weitere Informationen finden Sie im Dokumentationsportal.
Maximale Anzahl zurückzugebender Ereignisse Ganzzahl 50 Nein Geben Sie an, wie viele Ereignisse zurückgegeben werden sollen. Standard: 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[
        {
            "eventId": "ID",
            "ingestionTime": 1611652287896,
            "logStreamName": "CloudTrail_us-east-1",
            "message": {
                "eventVersion": "1.08",
                "userIdentity": {
                    "type": "AssumedRole",
                    "principalId": "ID",
                    "arn":"arn:aw
s:sts: : ACCOUNT_ID:assumed-role/AWSServiceRoleForAmazonMacie/AmazonMacieSession","accountId":"ACCOUNT_ID","accessKeyId":"KEY_ID","sessionC
ontext":{"sessionIssuer":{"type":"Role","principalId":"ID","arn":"arn:aws:iam: : ACCOUNT_ID:role/aws-service-role/macie.amazonaws.com/AW
SServiceRoleForAmazonMacie","accountId":"ACCOUNT_ID","userName":"AWSServiceRoleForAmazonMacie"},"webIdFederationData":{},"attributes":{"mfaAuthenticated": "false",
                    "creationDate": "2021-01-26T08:53:52Z"
                }
            },
            "invokedBy": "AWS Internal",
            "eventTime": "2021-01-26T08:53:52Z",
            "eventSource": "s3.amazonaws.com",
            "eventName": "GetBucketLogging",
            "awsRegion": "us-east-1",
            "sourceIPAddress": "AWSInternal",
            "userAgent": "AWS Internal",
            "requestParameters": {
                "logging": "",
                "bucketName": "example",
                "Host": "example.s3.amazonaws.com"
            },
            "responseElements": null,
            "additionalEventData": {
                "SignatureVersion": "SigV4",
                "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
                "bytesTransferredIn": 0,
                "AuthenticationMethod": "AuthHeader",
                "x-amz-id-2": "PFM+6pyK/gCPy95gh8dtstgtXftrpHkL8s=",
                "bytesTransferredOut": 289
            },
            "requestID": "8FA919A428BC82D7",
            "eventID": "7eb5dd44-7021-4945-b9be-27f5b1e0d8d0",
            "readOnly": true,
            "resources": [
                {
                    "accountId": "ACCOUNT_ID",
                    "type": "AWS::S3::Bucket",
                    "ARN": "arn:aws:s3:::example"
                }
            ],
            "eventType": "AwsApiCall",
            "managementEvent": true,
            "eventCategory": "Management",
            "recipientAccountId": "ACCOUNT_ID"
        },
        "timestamp": 1611652287716
    }
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
wenn Daten verfügbar sind (is_success = true): „Successfully executed search in AWS CloudWatch“ (Suche in AWS CloudWatch wurde erfolgreich ausgeführt).

Wenn keine Daten verfügbar sind (is_success = false): „No data was found for the provided search.“ (Für die angegebene Suche wurden keine Daten gefunden.)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Log-Ereignisse suchen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle „Fall-Repository“

Name: „Suchergebnisse“

Spalte:Alle verfügbaren Schlüssel.

 Allgemein

Aufbewahrungsrichtlinie festlegen

Legen Sie die Aufbewahrungsrichtlinie für Loggruppen in AWS CloudWatch fest.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Protokollgruppe String Ja Geben Sie den Namen der Loggruppe an, für die Sie die Aufbewahrungsrichtlinie festlegen möchten.
Tage der Aufbewahrung DDL

1

Mögliche Werte

1, 3, 5, 7, 14, 30, 60, 90, 120, 150, 180, 365, 400, 545, 731, 1.827 und 3.653

 Ja Geben Sie an, wie viele Tage die Daten in der Loggruppe aufbewahrt werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
if data success: (is_success = true): „Successfully set the retention policy for log group {group} in AWS CloudWatch“ (Die Aufbewahrungsrichtlinie für die Loggruppe {group} in AWS CloudWatch wurde erfolgreich festgelegt).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:<0xD>
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Aufbewahrungsrichtlinie festlegen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Aufbewahrungsrichtlinie entfernen

Entfernen Sie die Aufbewahrungsrichtlinie aus der Protokollgruppe in AWS CloudWatch.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Protokollgruppe String Ja Geben Sie den Namen der Loggruppe an, aus der Sie die Aufbewahrungsrichtlinie entfernen möchten.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen:
if data success: (is_success = true): „Successfully removed the retention policy from log group {group} in AWS CloudWatch“ (Die Aufbewahrungsrichtlinie wurde erfolgreich aus der Loggruppe {group} in AWS CloudWatch entfernt).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Aufbewahrungsrichtlinie entfernen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Loggruppe erstellen

Erstellen Sie eine Log Group in AWS CloudWatch.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Name der Loggruppe String Ja Geben Sie den Namen für die neue Loggruppe an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
"group_name": "GROUP_NAME"
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
if data success: (is_success = true): „Successfully created a new log group {group} in AWS CloudWatch“.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Error executing action ‚Create Log Group‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Log-Stream erstellen

Erstellen Sie einen Logstream für die Loggruppe in AWS CloudWatch.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Protokollgruppe String Ja Geben Sie den Namen der Loggruppe an, in der Sie einen Logstream erstellen möchten.
Name des Log-Streams String Ja Geben Sie den Namen für den neuen Logstream an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
"log_stream": "STREAM_NAME"
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht beenden.
if data success: (is_success = true): „Successfully created a new log stream in log group {group} in AWS CloudWatch“ (Es wurde ein neuer Logstream in der Loggruppe {group} in AWS CloudWatch erstellt).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Logstream erstellen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Protokollgruppe löschen

Löschen Sie eine Loggruppe in AWS CloudWatch.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Name der Loggruppe String Ja Geben Sie den Namen der zu löschenden Loggruppe an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
if data success: (is_success = true): „Successfully deleted log group {group} in AWS CloudWatch“ (Die Loggruppe {group} wurde in AWS CloudWatch erfolgreich gelöscht).

Wenn die Gruppe nicht vorhanden ist (is_success=false): „Die Aktion konnte die Loggruppe {group} in AWS CloudWatch nicht löschen. Grund: Die Loggruppe {group} wurde in AWS CloudWatch nicht gefunden.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Delete Log Group‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Logstream löschen

Löschen Sie einen Logstream in einer Loggruppe in AWS CloudWatch.

Parameter

Parameter-Anzeigename> Typ> Standardwert> Erforderlich> Beschreibung>
Name der Loggruppe String Ja Geben Sie den Namen der Protokollgruppe an, die den Protokollstream enthält.
Name des Log-Streams String Ja Geben Sie den Namen des Logstreams an, der gelöscht werden soll.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses> Wertoptionen>
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
if data success: (is_success = true): „Successfully deleted log stream {stream} from log group {group} in AWS CloudWatch“ (Der Logstream {stream} wurde erfolgreich aus der Loggruppe {group} in AWS CloudWatch gelöscht).

Wenn der Stream nicht vorhanden ist (is_success=false): „Die Aktion konnte den Logstream {stream} nicht aus der Loggruppe {group} in AWS CloudWatch löschen. Grund: Der Logstream {stream} wurde in der Loggruppe {group} in AWS CloudWatch nicht gefunden.“

Wenn die Gruppe nicht vorhanden ist (is_success=false): „Die Aktion konnte den Logstream {stream} nicht aus der Loggruppe {group} in AWS CloudWatch löschen. Grund: Die Loggruppe {group} wurde in AWS CloudWatch nicht gefunden.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Delete Log Stream‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten