如要使用 Security Command Center 提供的精選偵測、威脅調查和 Cloud Infrastructure Entitlement Management (CIEM) 功能,處理 Amazon Web Services (AWS) 相關事宜,必須透過 Google SecOps 擷取管道擷取 AWS 記錄。擷取作業所需的 AWS 記錄類型會因設定內容而異:
- CIEM 需要 AWS CloudTrail 記錄類型中的資料。
- 如要使用精選偵測功能,必須提供多種 AWS 記錄類型資料。
如要進一步瞭解不同的 AWS 記錄檔類型,請參閱「支援的裝置和記錄檔類型」。
設定 AWS 記錄檔擷取功能,以便使用 CIEM
如要為 AWS 環境產生調查結果,Cloud Infrastructure Entitlement Management (CIEM) 功能需要 AWS CloudTrail 日誌中的資料。
如要使用 CIEM,請在設定 AWS 記錄檔擷取功能時,執行下列步驟。
設定 AWS CloudTrail 時,請完成下列設定步驟:
建立下列任一項目:
- 機構層級的追蹤記錄,可從所有 AWS 帳戶提取記錄資料。
帳戶層級的追蹤記錄,可從選取的 AWS 帳戶提取記錄資料。
設定您為 CIEM 選擇的 Amazon S3 值區或 Amazon SQS 佇列,以便記錄管理事件 (來自所有區域)。
如要使用 Security Operations 控制台的「Feeds」頁面設定動態饋給,以便擷取 AWS 記錄,請完成下列設定步驟:
- 建立動態饋給,從 Amazon S3 bucket 或 Amazon SQS 佇列擷取所有區域的所有帳戶記錄。
根據動態饋給來源類型,使用下列任一選項設定動態饋給「擷取標籤」鍵/值組:
如果「來源類型」為「Amazon S3」,請設定下列其中一項:
- 如要每 15 分鐘擷取一次資料,請將「標籤」設為
CIEM,並將「值」設為TRUE。 如果其他 Security Command Center 服務可接受 15 分鐘的資料延遲,您就能重複使用這個資訊提供。 - 如要每 12 小時擷取一次資料,請將「Label」設為
CIEM_EXCLUSIVE,並將「Value」設為TRUE。如果可接受 24 小時的資料延遲,這個選項適用於 CIEM 和其他潛在的 Security Command Center 服務。
- 如要每 15 分鐘擷取一次資料,請將「標籤」設為
如果「來源類型」為「Amazon SQS」,請將「標籤」設為
CIEM,並將「值」設為TRUE。
如果記錄擷取設定有誤,CIEM 偵測服務可能會顯示不正確的結果。此外,如果 CloudTrail 設定有問題,Security Command Center 會顯示 CIEM AWS CloudTrail configuration error。
如要設定記錄檔擷取功能,請參閱 Google SecOps 說明文件中的「將 AWS 記錄檔擷取至 Google Security Operations」。
如需啟用 CIEM 的完整操作說明,請參閱「為 AWS 啟用 CIEM 偵測服務」。如要進一步瞭解 CIEM 功能,請參閱「Cloud Infrastructure Entitlement Management 總覽」。
設定 AWS 記錄檔擷取功能,以便使用精選偵測規則
Security Command Center Enterprise 提供精選的偵測功能,可使用事件和內容資料,協助識別 AWS 環境中的威脅。
每個 AWS 規則集都需要特定資料才能正常運作,包括下列一或多個來源:
- AWS CloudTrail
- AWS GuardDuty
- 主機、服務和 VPC 的 AWS 環境資料。
- AWS Identity and Access Management
如要使用這些精選偵測規則,您必須將 AWS 記錄資料擷取至 Google SecOps 租戶,然後啟用精選偵測規則。
詳情請參閱 Google SecOps 說明文件中的下列內容:
AWS 支援的裝置和記錄類型:AWS 規則集所需的資料相關資訊。
將 AWS 記錄擷取至 Google Security Operations:收集 AWS CloudTrail 記錄的步驟。
AWS 資料的精選偵測結果:Cloud Threats 精選偵測結果中的 AWS 規則集摘要。
使用精選偵測項目找出威脅:瞭解如何在 Google SecOps 中使用精選偵測項目。
如要瞭解 Security Command Center Enterprise 客戶可擷取至 Google SecOps 租戶的記錄資料類型,請參閱「Google SecOps 記錄資料收集」。