收集 AWS RDS 記錄

本文說明如何設定 Google SecOps 動態饋給，收集 AWS RDS 記錄。

詳情請參閱「將資料匯入 Google SecOps」。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 AWS_RDS 攝入標籤的剖析器。

事前準備

請確認您已完成下列必要條件：

• 可登入的 AWS 帳戶

• 全域管理員或 RDS 管理員

如何設定 AWS RDS

1. 使用現有資料庫或建立新資料庫：
   • 如要使用現有資料庫，請選取資料庫，然後依序點選「修改」和「記錄匯出」。
   • 如要使用新的資料庫，請在建立資料庫時選取「其他設定」。
2. 如要發布至 Amazon CloudWatch，請選取下列記錄類型：
   • 稽核記錄
   • 錯誤記錄
   • 一般記錄
   • 慢速查詢記錄
3. 如要指定 AWS Aurora PostgreSQL 和 PostgreSQL 的記錄匯出作業，請選取「PostgreSQL 記錄」。
4. 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業，請選取下列記錄類型：
   • 代理程式記錄
   • 錯誤記錄
5. 儲存記錄設定。
6. 選取「CloudWatch」>「記錄」，即可查看收集到的記錄。系統會在透過執行個體提供記錄後，自動建立記錄群組。

如要將記錄發布至 CloudWatch，請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和地區，參閱下列 AWS 說明文件，找出連線端點：

• 如要瞭解任何記錄來源，請參閱「AWS Identity and Access Management 端點和配額」。

• 如要瞭解 CloudWatch 記錄來源，請參閱「CloudWatch 記錄端點和配額」。

如需引擎專屬資訊，請參閱下列說明文件：

• 將 MariaDB 記錄發布至 Amazon CloudWatch Logs。

• 將 MySQL 記錄發布至 Amazon CloudWatch Logs。

• 將 Oracle 記錄發布至 Amazon CloudWatch 記錄。

• 將 PostgreSQL 記錄發布至 Amazon CloudWatch Logs。

• 將 SQL Server 記錄發布至 Amazon CloudWatch Logs。

設定動態饋給

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

• SIEM 設定 > 動態饋給
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態」設定動態

僅適用於 Google Security Operations 統一客戶：
如要針對這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「設定多個動態饋給」。

適用於所有客戶：
如要設定單一動態饋給，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一頁中，按一下「設定單一動態饋給」。如果您使用的是 Google SecOps SIEM 獨立平台，請略過這個步驟。
4. 輸入動態饋給名稱的專屬名稱。
5. 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」。
6. 選取「AWS RDS」做為「記錄類型」。
7. 點選「下一步」。
8. Google SecOps 支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰，請參閱「使用 AWS 設定工具驗證」。
9. 根據您建立的 AWS RDS 設定，指定輸入參數的值：
   • 如果您使用 Amazon S3，請為下列必填欄位指定值：
     • 區域
     • S3 URI
     • URI 是
     • 來源刪除選項
   • 如果您使用 Amazon SQS，請為下列必填欄位指定值：
     • 區域
     • 佇列名稱
     • 帳號
     • 佇列存取金鑰 ID
     • 排隊存取密鑰
     • 來源刪除選項
10. 依序點按「繼續」和「提交」。

如要進一步瞭解 Google SecOps 動態饋給，請參閱「使用動態饋給管理 UI 建立及管理動態饋給」。如要瞭解各動態饋給類型的規定，請參閱 動態饋給管理 API。

如果在建立動態饋給時遇到問題，請與 Google SecOps 支援團隊聯絡。

透過內容中心設定動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3，在 Google SecOps 中設定擷取動態饋給。

指定下列欄位的值：

• 區域：S3 值區或 SQS 佇列的託管區域。
• 佇列名稱：要讀取記錄資料的 SQS 佇列名稱。
• 帳號：擁有 SQS 佇列的帳號。
• 佇列存取金鑰 ID：20 個字元的帳戶存取金鑰 ID。例如：AKIAOSFOODNN7EXAMPLE。
• 佇列存取密鑰：40 個字元的存取密鑰。例如：wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
• 來源刪除選項：在資料移轉後刪除檔案和目錄的選項。

進階選項

• 動態饋給名稱：預先填入的值，用於識別動態饋給。
• 來源類型：用於收集記錄並匯入 Google SecOps 的方法。
• 資產命名空間：與動態饋給相關聯的命名空間。
• 攝入標籤：套用至這個動態饋給中所有事件的標籤。

欄位對應參考資料

這個剖析器會從 AWS RDS syslog 訊息中擷取欄位，主要著重於時間戳記、說明和用戶端 IP。這個函式會使用 grok 模式來識別這些欄位，並填入對應的 UDM 欄位，根據用戶端 IP 的存在與否將事件分類為 GENERIC_EVENT 或 STATUS_UPDATE。

UDM 對應表

記錄欄位	UDM 對應	邏輯
client_ip	principal.ip	使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。
create_time.nanos	不適用	未對應至 IDM 物件。
create_time.seconds	不適用	未對應至 IDM 物件。
	metadata.description	使用 grok 模式擷取的記錄說明訊息。複製自 create_time.nanos。複製自 create_time.seconds。預設值為「GENERIC_EVENT」。如果有 client_ip，則變更為「STATUS_UPDATE」由剖析器設定的靜態值「AWS_RDS」，由剖析器設定的靜態值「AWS_RDS」。
pid	principal.process.pid	使用規則運算式 process ID of %{INT:pid} 從 descrip 欄位中擷取。

異動

2023-04-24

• 新建的剖析器。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。