收集 AWS RDS 記錄
本文說明如何設定 Google SecOps 動態饋給,收集 AWS RDS 記錄。
詳情請參閱「將資料匯入 Google SecOps」。
擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 AWS_RDS
攝入標籤的剖析器。
事前準備
請確認您已完成下列必要條件:
可登入的 AWS 帳戶
全域管理員或 RDS 管理員
如何設定 AWS RDS
- 使用現有資料庫或建立新資料庫:
- 如要使用現有資料庫,請選取資料庫,然後依序點選「修改」和「記錄匯出」。
- 如要使用新的資料庫,請在建立資料庫時選取「其他設定」。
- 如要發布至 Amazon CloudWatch,請選取下列記錄類型:
- 稽核記錄
- 錯誤記錄
- 一般記錄
- 慢速查詢記錄
- 如要指定 AWS Aurora PostgreSQL 和 PostgreSQL 的記錄匯出作業,請選取「PostgreSQL 記錄」。
- 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業,請選取下列記錄類型:
- 代理程式記錄
- 錯誤記錄
- 儲存記錄設定。
- 選取「CloudWatch」>「記錄」,即可查看收集到的記錄。系統會在透過執行個體提供記錄後,自動建立記錄群組。
如要將記錄發布至 CloudWatch,請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。
根據服務和地區,參閱下列 AWS 說明文件,找出連線端點:
如要瞭解任何記錄來源,請參閱「AWS Identity and Access Management 端點和配額」。
如要瞭解 CloudWatch 記錄來源,請參閱「CloudWatch 記錄端點和配額」。
如需引擎專屬資訊,請參閱下列說明文件:
設定動態饋給
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態」設定動態
僅適用於 Google Security Operations 統一客戶:
如要針對這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「設定多個動態饋給」。
適用於所有客戶:
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。如果您使用的是 Google SecOps SIEM 獨立平台,請略過這個步驟。
- 輸入動態饋給名稱的專屬名稱。
- 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」。
- 選取「AWS RDS」做為「記錄類型」。
- 點選「下一步」。
- Google SecOps 支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
- 根據您建立的 AWS RDS 設定,指定輸入參數的值:
- 如果您使用 Amazon S3,請為下列必填欄位指定值:
- 區域
- S3 URI
- URI 是
- 來源刪除選項
- 如果您使用 Amazon SQS,請為下列必填欄位指定值:
- 區域
- 佇列名稱
- 帳號
- 佇列存取金鑰 ID
- 排隊存取密鑰
- 來源刪除選項
- 如果您使用 Amazon S3,請為下列必填欄位指定值:
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google SecOps 動態饋給,請參閱「使用動態饋給管理 UI 建立及管理動態饋給」。如要瞭解各動態饋給類型的規定,請參閱 動態饋給管理 API。
如果在建立動態饋給時遇到問題,請與 Google SecOps 支援團隊聯絡。
透過內容中心設定動態饋給
您可以使用 Amazon SQS (建議) 或 Amazon S3,在 Google SecOps 中設定擷取動態饋給。
指定下列欄位的值:
- 區域:S3 值區或 SQS 佇列的託管區域。
- 佇列名稱:要讀取記錄資料的 SQS 佇列名稱。
- 帳號:擁有 SQS 佇列的帳號。
- 佇列存取金鑰 ID:20 個字元的帳戶存取金鑰 ID。例如:
AKIAOSFOODNN7EXAMPLE
。 - 佇列存取密鑰:40 個字元的存取密鑰。例如:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
。 - 來源刪除選項:在資料移轉後刪除檔案和目錄的選項。
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 攝入標籤:套用至這個動態饋給中所有事件的標籤。
欄位對應參考資料
這個剖析器會從 AWS RDS syslog 訊息中擷取欄位,主要著重於時間戳記、說明和用戶端 IP。這個函式會使用 grok 模式來識別這些欄位,並填入對應的 UDM 欄位,根據用戶端 IP 的存在與否將事件分類為 GENERIC_EVENT
或 STATUS_UPDATE
。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
client_ip |
principal.ip |
使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。 |
create_time.nanos |
不適用 | 未對應至 IDM 物件。 |
create_time.seconds |
不適用 | 未對應至 IDM 物件。 |
metadata.description |
使用 grok 模式擷取的記錄說明訊息。複製自 create_time.nanos 。複製自 create_time.seconds 。預設值為「GENERIC_EVENT」。如果有 client_ip ,則變更為「STATUS_UPDATE」由剖析器設定的靜態值「AWS_RDS」,由剖析器設定的靜態值「AWS_RDS」。 |
|
pid |
principal.process.pid |
使用規則運算式 process ID of %{INT:pid} 從 descrip 欄位中擷取。 |
異動
2023-04-24
- 新建的剖析器。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。