כדי להשתמש ביכולות של Security Command Center לזיהוי איומים, לחקירת איומים ולניהול הרשאות בתשתית ענן (CIEM) ב-Amazon Web Services (AWS), צריך להטמיע יומנים של AWS באמצעות צינור ההטמעה של Google SecOps. סוגי היומנים של AWS שנדרשים להעברה משתנים בהתאם למה שמגדירים:
- CIEM requires data from the AWS CloudTrail log type.
- גלאים מוכנים מראש דורשים נתונים מכמה סוגים של יומנים ב-AWS.
למידע נוסף על הסוגים השונים של יומני AWS, ראו מכשירים נתמכים וסוגי יומנים.
הגדרת הטמעה של יומנים מ-AWS עבור CIEM
כדי ליצור ממצאים בסביבת AWS, היכולות של Cloud Infrastructure Entitlement Management (CIEM) (ניהול הרשאות גישה לתשתית ענן) דורשות נתונים מיומני AWS CloudTrail.
כדי להשתמש ב-CIEM, צריך לבצע את הפעולות הבאות כשמגדירים את ההטמעה של יומני AWS.
כשמגדירים את AWS CloudTrail, מבצעים את שלבי ההגדרה הבאים:
יוצרים אחת מהאפשרויות הבאות:
- מעקב ברמת הארגון ששולף נתוני יומן מכל חשבונות AWS.
מעקב ברמת החשבון ששולף נתוני יומן מחשבונות AWS נבחרים.
מגדירים את קטגוריית Amazon S3 או את תור Amazon SQS שבוחרים עבור CIEM לרישום אירועי ניהול מכל האזורים.
כדי להגדיר פיד להטמעת יומני AWS באמצעות הדף Feeds במסוף Security Operations, מבצעים את שלבי ההגדרה הבאים:
- יוצרים פיד שקולט את כל יומני החשבון מהקטגוריה של Amazon S3 או מתור הנתונים של Amazon SQS עבור כל האזורים.
מגדירים את צמד המפתח/ערך של תוויות ההטמעה בפיד על סמך סוג מקור הפיד, באמצעות אחת מהאפשרויות הבאות:
אם סוג המקור הוא Amazon S3, צריך להגדיר אחת מהאפשרויות הבאות:
- כדי לחלץ נתונים כל 15 דקות, מגדירים את התווית ל-
CIEMואת הערך ל-TRUE. אפשר להשתמש מחדש בפיד הזה בשירותים אחרים של Security Command Center שבהם השהיית נתונים של 15 דקות היא סבירה. - כדי לחלץ נתונים כל 12 שעות, מגדירים את Label (תווית) ל-
CIEM_EXCLUSIVEואת Value (ערך) ל-TRUE. האפשרות הזו מתאימה ל-CIEM ולשירותים פוטנציאליים אחרים של Security Command Center שבהם השהיית נתונים של 24 שעות היא סבירה.
- כדי לחלץ נתונים כל 15 דקות, מגדירים את התווית ל-
אם סוג המקור הוא Amazon SQS, מגדירים את התווית לערך
CIEMואת הערך לערךTRUE.
אם לא תגדירו את הטמעת היומנים בצורה נכונה, יכול להיות ששירות הזיהוי של CIEM יציג ממצאים שגויים. בנוסף, אם יש בעיות בהגדרה של CloudTrail, ב-Security Command Center מוצג CIEM AWS CloudTrail configuration error.
כדי להגדיר את ההעברה של יומנים, אפשר לעיין במאמר העברה של יומני AWS אל Google Security Operations במסמכי Google SecOps.
הוראות מלאות להפעלת CIEM מופיעות במאמר הפעלת שירות הזיהוי של CIEM ב-AWS. מידע נוסף על תכונות CIEM זמין במאמר סקירה כללית על ניהול הרשאות ב-Cloud Infrastructure.
הגדרת הטמעה של יומנים ב-AWS לצורך גלאים מוכנים מראש
גלאים מוכנים מראש שזמינים ב-Security Command Center Enterprise עוזרים לזהות איומים בסביבות AWS באמצעות נתוני אירועים ונתוני הקשר.
כל קבוצת כללים של AWS צריכה נתונים מסוימים כדי לפעול כמו שתוכנן, כולל אחד או יותר מהמקורות הבאים:
- AWS CloudTrail
- AWS GuardDuty
- נתוני הקשר של AWS לגבי מארחים, שירותים ו-VPC.
- AWS Identity and Access Management
כדי להשתמש בגלאים מוכנים מראש, צריך להטמיע נתוני יומן של AWS בדייר Google SecOps, ואז להפעיל את כללי הזיהוי.
מידע נוסף זמין במאמרים הבאים במסמכי התיעוד של Google SecOps:
מכשירים נתמכים וסוגי יומנים ב-AWS: מידע על הנתונים שנדרשים על ידי ערכות הכללים של AWS.
הוספת יומנים של AWS ל-Google Security Operations: שלבים לאיסוף יומנים של AWS CloudTrail.
גלאים מוכנים מראש לנתוני AWS: סיכום של קבוצות הכללים של AWS בגלאים המוכנים מראש של איומים בענן.
שימוש בגלאים מוכנים מראש לזיהוי איומים: איך משתמשים בגלאים מוכנים מראש ב-Google SecOps.
במאמר איסוף נתוני יומן של Google SecOps אפשר לקרוא מידע על סוג נתוני היומן שלקוחות עם Security Command Center Enterprise יכולים להעביר לדייר Google SecOps.