收集 AWS Session Manager 日志

支持的平台:

本文档介绍了如何将 AWS Session Manager 日志注入到 Google Security Operations。AWS Session Manager 可提供对 Amazon EC2 实例和本地服务器的安全且可审核的访问权限。通过将其日志集成到 Google SecOps,您可以增强安全状况并跟踪远程访问事件。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

配置 AWS IAM 和 S3

  1. 按照以下用户指南创建 Amazon S3 存储桶创建存储桶
  2. 保存存储桶的名称区域,以备日后使用。
  3. 按照以下用户指南创建用户:创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 访问密钥部分中,点击创建访问密钥
  7. 选择第三方服务作为用例
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 CSV 文件,保存访问密钥密钥以供日后使用。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

如何配置 AWS Session Manager 以在 S3 中保存日志

  1. 前往 AWS Systems Manager 控制台
  2. 在导航窗格中,选择 Session Manager
  3. 点击偏好设置标签页。
  4. 点击修改
  5. 在“S3 日志记录”下,选中启用复选框。
  6. 取消选中 Allow only encrypted S3 buckets(仅允许加密的 S3 存储分区)复选框。
  7. 选择您在账号中已创建的 Amazon S3 存储桶,以存储会话日志数据。
  8. 输入您在账号中已创建的用于存储会话日志数据的 Amazon S3 存储桶的名称。
  9. 点击保存

设置 Feed

您可以通过以下两个不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

依次选择 SIEM 设置 > Feed,设置 Feed

如需为此产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 AWS Session Manager 日志)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 AWS 会话管理器作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
    • URI 是:根据您的存储桶结构,选择目录包含子目录的目录

    • 来源删除选项:根据您的提取偏好设置选择删除选项。

    • 访问密钥 ID:用户的访问密钥,具有从 S3 存储桶读取的权限。

    • 私有访问密钥:用户的私有访问密钥,具有从 S3 存储桶读取的权限。

    • 资产命名空间资产命名空间

    • 提取标签:要应用于此 Feed 中的事件的标签。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

通过内容中心设置 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
  • S3 URI:存储桶 URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
  • URI 是:根据您的存储桶结构,选择目录包含子目录的目录
  • 来源删除选项:根据您的提取偏好设置选择删除选项。

  • 访问密钥 ID:用户的访问密钥,具有从 S3 存储桶读取的权限。

  • 私有访问密钥:用户的私有访问密钥,具有从 S3 存储桶读取的权限。

高级选项

  • Feed 名称:用于标识 Feed 的预先填充值。
  • 来源类型:用于将日志收集到 Google SecOps 的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于此 Feed 中的所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
--cid metadata.description 说明字段的一部分(如果存在于日志中)
--collector.filesystem.ignored-mount-points metadata.description 说明字段的一部分(如果存在于日志中)
--collector.vmstat.fields metadata.description 说明字段的一部分(如果存在于日志中)
--message-log metadata.description 说明字段的一部分(如果存在于日志中)
--name metadata.description 说明字段的一部分(如果存在于日志中)
--net metadata.description 说明字段的一部分(如果存在于日志中)
--path.procfs metadata.description 说明字段的一部分(如果存在于日志中)
--path.rootfs metadata.description 说明字段的一部分(如果存在于日志中)
--path.sysfs metadata.description 说明字段的一部分(如果存在于日志中)
-v /:/rootfs:ro metadata.description 说明字段的一部分(如果存在于日志中)
-v /proc:/host/proc metadata.description 说明字段的一部分(如果存在于日志中)
-v /sys:/host/sys metadata.description 说明字段的一部分(如果存在于日志中)
CID metadata.description 说明字段的一部分(如果存在于日志中)
ERROR security_result.severity 使用 grok 模式匹配从日志消息中提取。
falconctl metadata.description 说明字段的一部分(如果存在于日志中)
ip-1-2-4-2 principal.ip 使用 grok 模式匹配从日志消息中提取,并转换为标准 IP 地址格式。
ip-1-2-8-6 principal.ip 使用 grok 模式匹配从日志消息中提取,并转换为标准 IP 地址格式。
java target.process.command_line 使用 Grok 模式匹配从日志消息中提取。
Jun13 metadata.event_timestamp.seconds 时间戳字段的一部分(如果存在于日志中),与 month_date 和 time_stamp 字段组合使用。
[kworker/u16:8-kverityd] target.process.command_line 使用 Grok 模式匹配从日志消息中提取。
root principal.user.userid 使用 Grok 模式匹配从日志消息中提取。
metadata.event_type 根据其他字段的存在性和值确定:
- 如果存在 src_ip,则为“STATUS_UPDATE”。
- 如果同时存在 src_ip 和 dest_ip,则为“NETWORK_CONNECTION”。
- 如果存在 user_id,则为“USER_UNCATEGORIZED”。
- 否则为“GENERIC_EVENT”。
metadata.log_type 设置为“AWS_SESSION_MANAGER”。
metadata.product_name 设置为“AWS Session Manager”。
metadata.vendor_name 设置为“Amazon”。
target.process.pid 使用 Grok 模式匹配从日志消息中提取。

变化

2023-06-14

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。