Mengumpulkan log AWS Session Manager

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Session Manager ke Google Security Operations. AWS Session Manager memberikan akses yang aman dan dapat diaudit ke instance Amazon EC2 dan server lokal. Dengan mengintegrasikan lognya ke Google SecOps, Anda dapat meningkatkan postur keamanan dan melacak peristiwa akses jarak jauh.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengonfigurasi AWS IAM dan S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Cara mengonfigurasi AWS Session Manager untuk Menyimpan Log di S3

  1. Buka konsol AWS Systems Manager.
  2. Di panel navigasi, pilih Pengelola Sesi.
  3. Klik tab Preferensi.
  4. Klik Edit.
  5. Di bagian logging S3, centang kotak Enable.
  6. Hapus centang pada kotak Izinkan hanya bucket S3 terenkripsi.
  7. Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  8. Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  9. Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS Session Manager

  1. Klik paket Amazon Cloud Platform.
  2. Cari jenis log AWS Session Manager.

  3. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
--cid metadata.description Bagian kolom deskripsi jika ada dalam log
--collector.filesystem.ignored-mount-points metadata.description Bagian kolom deskripsi jika ada dalam log
--collector.vmstat.fields metadata.description Bagian kolom deskripsi jika ada dalam log
--message-log metadata.description Bagian kolom deskripsi jika ada dalam log
--name metadata.description Bagian kolom deskripsi jika ada dalam log
--net metadata.description Bagian kolom deskripsi jika ada dalam log
--path.procfs metadata.description Bagian kolom deskripsi jika ada dalam log
--path.rootfs metadata.description Bagian kolom deskripsi jika ada dalam log
--path.sysfs metadata.description Bagian kolom deskripsi jika ada dalam log
-v /:/rootfs:ro metadata.description Bagian kolom deskripsi jika ada dalam log
-v /proc:/host/proc metadata.description Bagian kolom deskripsi jika ada dalam log
-v /sys:/host/sys metadata.description Bagian kolom deskripsi jika ada dalam log
CID metadata.description Bagian kolom deskripsi jika ada dalam log
ERROR security_result.severity Diekstrak dari pesan log menggunakan pencocokan pola grok.
falconctl metadata.description Bagian kolom deskripsi jika ada dalam log
ip-1-2-4-2 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
ip-1-2-8-6 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
java target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
Jun13 metadata.event_timestamp.seconds Bagian kolom stempel waktu jika ada dalam log, digabungkan dengan kolom month_date dan time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
root principal.user.userid Diekstrak dari pesan log menggunakan pencocokan pola grok.
metadata.event_type Ditentukan berdasarkan keberadaan dan nilai kolom lainnya:
- "STATUS_UPDATE" jika src_ip ada.
- "NETWORK_CONNECTION" jika src_ip dan dest_ip ada.
- "USER_UNCATEGORIZED" jika user_id ada.
- "GENERIC_EVENT" jika tidak.
metadata.log_type Tetapkan ke "AWS_SESSION_MANAGER".
metadata.product_name Tetapkan ke "AWS Session Manager".
metadata.vendor_name Tetapkan ke "Amazon".
target.process.pid Diekstrak dari pesan log menggunakan pencocokan pola grok.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.