Coletar registros do AWS RDS

Este documento descreve como coletar registros do AWS RDS configurando um feed do Google SecOps.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos no formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de transferência AWS_RDS.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

• Uma conta da AWS em que você possa fazer login

• Um administrador global ou administrador do RDS

Como configurar o AWS RDS

1. Use um banco de dados existente ou crie um novo:
   • Para usar um banco de dados existente, selecione-o, clique em Modificar e selecione Exportações de registro.
   • Para usar um novo banco de dados, selecione Configuração adicional ao criar o banco de dados.
2. Para publicar no Amazon CloudWatch, selecione os seguintes tipos de registro:
   • Registro de auditoria
   • Registro de erros
   • Registro geral
   • Registro de consulta lenta
3. Para especificar a exportação de registros para o AWS Aurora PostgreSQL e o PostgreSQL, selecione Registro do PostgreSQL.
4. Para especificar a exportação de registros para o AWS Microsoft SQL Server, selecione os seguintes tipos de registro:
   • Registro do agente
   • Registro de erros
5. Salve a configuração do registro.
6. Selecione CloudWatch > Registros para conferir os registros coletados. Os grupos de registros são criados automaticamente depois que os registros ficam disponíveis na instância.

Para publicar os registros no CloudWatch, configure as políticas de chaves do KMS e do usuário do IAM. Para mais informações, consulte Políticas de chaves do IAM e do KMS.

Com base no serviço e na região, identifique os endpoints de conectividade consultando a documentação da AWS a seguir:

• Para informações sobre as origens de registro, consulte Endpoints e cotas do AWS Identity and Access Management.

• Para informações sobre as origens de geração de registros do CloudWatch, consulte Endpoints e cotas de registros do CloudWatch.

Para informações específicas do mecanismo, consulte a documentação a seguir:

• Publicação de registros do MariaDB nos Amazon CloudWatch Logs.

• Publicar registros do MySQL no Amazon CloudWatch Logs.

• Publicação de registros da Oracle no Amazon CloudWatch Logs.

• Publicação de registros do PostgreSQL nos Amazon CloudWatch Logs.

• Publicação de registros do SQL Server nos Amazon CloudWatch Logs.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

• Configurações do SIEM > Feeds
• Hub de conteúdo > Pacotes de conteúdo

Configurar feeds em Configurações do SIEM > Feeds

Somente para clientes unificados do Google Security Operations:
Para configurar vários feeds para diferentes tipos de registro nessa família de produtos, consulte Configurar vários feeds.

Para todos os clientes:
Para configurar um único feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed. Pule esta etapa se você estiver usando a plataforma SIEM autônoma do Google SecOps.
4. Insira um nome exclusivo para o nome do feed.
5. Selecione Amazon S3 ou Amazon SQS como o Tipo de origem.
6. Selecione AWS RDS como o Tipo de registro.
7. Clique em Próxima.
8. O Google SecOps oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.
9. Com base na configuração do AWS RDS que você criou, especifique os valores para os parâmetros de entrada:
   • Se você usa o Amazon S3, especifique valores para os seguintes campos obrigatórios:
     • Região
     • URI do S3
     • O URI é um
     • Opção de exclusão da origem
   • Se você usa o Amazon SQS, especifique valores para os seguintes campos obrigatórios:
     • Região
     • Nome da fila
     • Número da conta
     • ID da chave de acesso da fila
     • Chave de acesso secreta da fila
     • Opção de exclusão da origem
10. Clique em Próximo e, em seguida, Enviar.

Para mais informações sobre os feeds do Google SecOps, consulte Criar e gerenciar feeds usando a interface de gerenciamento de feeds. Para saber mais sobre os requisitos de cada tipo de feed, consulte a API Feed Management.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Configurar feeds na Central de conteúdo

É possível configurar o feed de transferência no Google SecOps usando o Amazon SQS (preferível) ou o Amazon S3.

Especifique valores para os seguintes campos:

• Região: região em que o bucket do S3 ou a fila do SQS está hospedado.
• Nome da fila: nome da fila do SQS para ler os dados de registro.
• Número da conta: número da conta proprietária da fila do SQS.
• ID da chave de acesso da fila: ID de 20 caracteres da chave de acesso à conta. Por exemplo, AKIAOSFOODNN7EXAMPLE.
• Chave de acesso secreta da fila: chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
• Opção de exclusão da origem: opção para excluir arquivos e diretórios após a transferência dos dados.

Opções avançadas

• Nome do feed: um valor preenchido automaticamente que identifica o feed.
• Tipo de origem: método usado para coletar registros no Google SecOps.
• Namespace do recurso: o namespace associado ao feed.
• Rótulos de transferência: rótulos aplicados a todos os eventos desse feed.

Referência do mapeamento de campo

Esse analisador extrai campos das mensagens de syslog do AWS RDS, com foco principalmente no carimbo de data/hora, na descrição e no IP do cliente. Ele usa padrões grok para identificar esses campos e preencher os campos UDM correspondentes, classificando os eventos como GENERIC_EVENT ou STATUS_UPDATE com base na presença de um IP do cliente.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
client_ip	principal.ip	Extraídos da mensagem de registro bruta usando a expressão regular \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos	N/A	Não mapeado para o objeto IDM.
create_time.seconds	N/A	Não mapeado para o objeto IDM.
	metadata.description	A mensagem descritiva do registro, extraída usando padrões grok. Copiado de create_time.nanos. Copiado de create_time.seconds. "GENERIC_EVENT" por padrão. Mudou para "STATUS_UPDATE" se client_ip estiver presente. Valor estático "AWS_RDS", definido pelo analisador. Valor estático "AWS_RDS", definido pelo analisador.
pid	principal.process.pid	Extraídos do campo descrip usando a expressão regular process ID of %{INT:pid}.

Alterações

2023-04-24

• Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.