Raccogliere i log di AWS Key Management Service

Supportato in:

Questo documento spiega come importare i log di AWS Key Management Service (KMS) in Google Security Operations. AWS KMS è un servizio completamente gestito che ti consente di creare e controllare le chiavi di crittografia utilizzate per criptare i tuoi dati. Questa integrazione consente di monitorare e controllare l'utilizzo delle chiavi di crittografia.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Configura Amazon S3 e IAM

  1. Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket
  2. Salva Nome e Regione del bucket per utilizzarli in un secondo momento.
  3. Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per utilizzarle in un secondo momento.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Come configurare CloudTrail per AWS KMS

  1. Accedi alla AWS Management Console.
  2. Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.
  3. Fai clic su Crea percorso.
  4. Fornisci un nome del trail (ad esempio KMS-Activity-Trail).
  5. Seleziona la casella di controllo Attiva per tutti gli account della mia organizzazione.
  6. Digita l'URI del bucket S3 creato in precedenza (il formato deve essere: s3://your-log-bucket-name/) o crea un nuovo bucket S3.
  7. Se la crittografia lato server (SSE) KMS è abilitata, fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
  8. Puoi lasciare invariate le altre impostazioni.
  9. Fai clic su Avanti.
  10. Seleziona Eventi di gestione e Eventi di dati in Tipi di eventi.
  11. Fai clic su Avanti.
  12. Rivedi le impostazioni in Rivedi e crea.
  13. Fai clic su Crea percorso.
  14. (Facoltativo) Se hai creato un nuovo bucket, continua con la procedura seguente:
    1. Vai a S3.
    2. Identifica e seleziona il bucket di log appena creato.
    3. Seleziona la cartella AWSLogs.
    4. Fai clic su Copia URI S3 e salvalo.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare più feed per tipi di log diversi all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log AWS KMS).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona AWS KMS come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket S3.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con autorizzazioni di lettura dal bucket S3.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

  • Regione: la regione in cui si trova il bucket Amazon S3.
  • URI S3: l'URI del bucket.
    • s3://your-log-bucket-name/
      • Sostituisci your-log-bucket-name con il nome effettivo del bucket S3.
  • L'URI è una: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

  • ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.

  • Chiave di accesso segreta: la chiave segreta dell'utente con autorizzazioni di lettura dal bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
data.detail.awsRegion principal.location.country_or_region Mappato direttamente dal campo data.detail.awsRegion nel log non elaborato.
data.detail.eventCategory security_result.category_details Mappato direttamente dal campo data.detail.eventCategory nel log non elaborato.
data.detail.eventName metadata.product_event_type Mappato direttamente dal campo data.detail.eventName nel log non elaborato. Questo campo determina il valore metadata.event_type in base alla logica: se eventName è "Decrypt" o "Encrypt", event_type è "USER_RESOURCE_ACCESS", se eventName è "GenerateDataKey", event_type è "USER_RESOURCE_CREATION", altrimenti event_type è "GENERIC_EVENT".
data.detail.requestID additional.fields.key Il valore è hardcoded su "requestID" nel codice del parser.
data.detail.requestID additional.fields.value.string_value Mappato direttamente dal campo data.detail.requestID nel log non elaborato.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.key Il valore è hardcoded su "encryptionAlgorithm" nel codice del parser.
data.detail.requestParameters.encryptionAlgorithm security_result.detection_fields.value Mappato direttamente dal campo data.detail.requestParameters.encryptionAlgorithm nel log non elaborato.
data.detail.resources.ARN target.resource.id Mappato direttamente dal campo data.detail.resources.ARN nel log non elaborato.
data.detail.resources.type target.resource.resource_subtype Mappato direttamente dal campo data.detail.resources.type nel log non elaborato.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.key Il valore è hardcoded su "mfaAuthenticated" nel codice del parser.
data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels.value Mappato direttamente dal campo data.detail.userIdentity.sessionContext.attributes.mfaAuthenticated nel log non elaborato.
data.detail.userIdentity.sessionContext.sessionIssuer.principalId principal.user.userid Mappato direttamente dal campo data.detail.userIdentity.sessionContext.sessionIssuer.principalId nel log non elaborato.
data.detail.userIdentity.sessionContext.sessionIssuer.userName principal.user.user_display_name Mappato direttamente dal campo data.detail.userIdentity.sessionContext.sessionIssuer.userName nel log non elaborato.
data.detail.userIdentity.type principal.user.attribute.roles.name Mappato direttamente dal campo data.detail.userIdentity.type nel log non elaborato.
data.id metadata.product_log_id Mappato direttamente dal campo data.id nel log non elaborato.
data.time metadata.event_timestamp.seconds Il valore in secondi del timestamp analizzato dal campo data.time nel log non elaborato.
N/D metadata.event_type Questo campo è dedotto dalla logica del parser in base al valore di data.detail.eventName: se eventName è "Decrypt" o "Encrypt", event_type è "USER_RESOURCE_ACCESS", se eventName è "GenerateDataKey", event_type è "USER_RESOURCE_CREATION", altrimenti event_type è "GENERIC_EVENT".
N/D metadata.log_type Il valore è hardcoded su "AWS_KMS" nel codice del parser.
N/D metadata.product_name Il valore è hardcoded su "AWS Key Management Service" nel codice del parser.
N/D metadata.vendor_name Il valore è impostato come hardcoded su "AMAZON" nel codice del parser.
N/D principal.asset.attribute.cloud.environment Il valore è hardcoded su "AMAZON_WEB_SERVICES" nel codice del parser.

Modifiche

2022-05-27

  • Miglioramento:
  • Il valore memorizzato in metadata.product_name è stato modificato in "AWS Key Management Service".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.