כדי להשתמש ביכולות של Security Command Center לזיהוי איומים, לחקירת איומים ולניהול הרשאות בתשתית ענן (CIEM) ב-Amazon Web Services (AWS), צריך להטמיע את יומני AWS באמצעות צינור ההטמעה של Google SecOps. סוגי היומנים של AWS שנדרשים להעברה משתנים בהתאם למה שמגדירים:
- ל-CIEM נדרשים נתונים מסוג היומן AWS CloudTrail.
- גלאים מוכנים מראש דורשים נתונים מכמה סוגים של יומנים ב-AWS.
למידע נוסף על הסוגים השונים של יומני AWS, ראו מכשירים נתמכים וסוגי יומנים.
הגדרת הטמעה של יומנים מ-AWS ב-CIEM
כדי ליצור ממצאים עבור סביבת AWS, יכולות ניהול ההרשאות בתשתית הענן (CIEM) דורשות נתונים מיומני AWS CloudTrail.
כדי להשתמש ב-CIEM, צריך לבצע את הפעולות הבאות כשמגדירים את ההטמעה של יומני AWS.
כשמגדירים את AWS CloudTrail, מבצעים את שלבי ההגדרה הבאים:
יוצרים אחת מהאפשרויות הבאות:
- מעקב ברמת הארגון ששולף נתוני יומן מכל חשבונות AWS.
עקבות ברמת החשבון ששולפות נתוני יומן מחשבונות AWS נבחרים.
מגדירים את קטגוריית Amazon S3 או את תור Amazon SQS שבוחרים ל-CIEM כך שיתבצע רישום ביומן של אירועי ניהול מכל האזורים.
כדי להגדיר פיד להזנת יומנים של AWS באמצעות הדף Feeds במסוף Security Operations, מבצעים את שלבי ההגדרה הבאים:
- יוצרים פיד שקולט את כל יומני החשבון מהקטגוריה של Amazon S3 או מתור Amazon SQS עבור כל האזורים.
מגדירים את צמד מפתח/ערך של תוויות להעברת נתונים בפיד על סמך סוג מקור הפיד, באמצעות אחת מהאפשרויות הבאות:
אם סוג המקור הוא Amazon S3, צריך להגדיר אחת מהאפשרויות הבאות:
- כדי לחלץ נתונים כל 15 דקות, מגדירים את התווית ל-
CIEMואת הערך ל-TRUE. אפשר להשתמש מחדש בפיד הזה בשירותים אחרים של Security Command Center שבהם השהיית נתונים של 15 דקות היא סבירה. - כדי לחלץ נתונים כל 12 שעות, מגדירים את התווית ל-
CIEM_EXCLUSIVEואת הערך ל-TRUE. האפשרות הזו מתאימה ל-CIEM ולשירותים פוטנציאליים אחרים של Security Command Center שבהם השהיית נתונים של 24 שעות היא סבירה.
- כדי לחלץ נתונים כל 15 דקות, מגדירים את התווית ל-
אם סוג המקור הוא Amazon SQS, מגדירים את התווית לערך
CIEMואת הערך לערךTRUE.
אם לא תגדירו את הטמעת היומנים בצורה נכונה, יכול להיות ששירות הזיהוי של CIEM יציג ממצאים שגויים. בנוסף, אם יש בעיות בהגדרה של CloudTrail, ב-Security Command Center מוצג הסמל CIEM AWS CloudTrail configuration error.
כדי להגדיר את ההעברה של יומנים, אפשר לעיין במאמר העברה של יומני AWS אל Google Security Operations במסמכי Google SecOps.
הוראות מלאות להפעלת CIEM מופיעות במאמר בנושא הפעלת שירות הזיהוי של CIEM ב-AWS. מידע נוסף על תכונות CIEM זמין במאמר סקירה כללית על ניהול הרשאות ב-Cloud Infrastructure.
הגדרת הטמעה של יומנים ב-AWS לצורך גלאים מוכנים מראש
גלאים מוכנים מראש הזמינים ב-Security Command Center Enterprise עוזרים לזהות איומים בסביבות AWS באמצעות נתוני אירועים ונתוני הקשר.
כל קבוצת כללים של AWS צריכה נתונים מסוימים כדי לפעול כמו שתוכנן, כולל מקור אחד או יותר מהמקורות הבאים:
- AWS CloudTrail
- AWS GuardDuty
- נתוני הקשר של AWS לגבי מארחים, שירותים ו-VPC.
- AWS Identity and Access Management
כדי להשתמש בגלאים מוכנים מראש אלה, עליך להטמיע נתוני יומן של AWS בדייר Google SecOps, ולאחר מכן להפעיל את כללי הגילוי המוכנים מראש.
מידע נוסף זמין במאמרים הבאים במסמכי Google SecOps:
מכשירים נתמכים וסוגי יומנים ב-AWS: מידע על הנתונים שנדרשים על ידי ערכות הכללים של AWS.
הוספת יומנים של AWS ל-Google Security Operations: שלבים לאיסוף יומנים של AWS CloudTrail.
גלאים מוכנים מראש לנתוני AWS: סיכום של קבוצות הכללים של AWS בגלאים המוכנים מראש של Cloud Threats.
שימוש בגלאים מוכנים מראש כדי לזהות איומים: איך משתמשים בגלאים מוכנים מראש ב-Google SecOps.
במאמר איסוף נתוני יומן של Google SecOps אפשר לקבל מידע על סוג נתוני היומן שלקוחות עם Security Command Center Enterprise יכולים להעביר לדייר Google SecOps.