Mengumpulkan log AWS Session Manager

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Session Manager ke Google Security Operations. AWS Session Manager menyediakan akses yang aman dan dapat diaudit ke instance Amazon EC2 dan server lokal. Dengan mengintegrasikan log-nya ke Google SecOps, Anda dapat meningkatkan postur keamanan dan melacak peristiwa akses jarak jauh.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengonfigurasi AWS IAM dan S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Buat Kunci Akses di bagian Kunci Akses.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Buat kunci akses.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Cara mengonfigurasi AWS Session Manager untuk Menyimpan Log di S3

  1. Buka konsol AWS Systems Manager.
  2. Di panel navigasi, pilih Session Manager.
  3. Klik tab Preferensi.
  4. Klik Edit.
  5. Di bagian S3 logging, centang kotak Aktifkan.
  6. Hapus centang kotak Hanya izinkan bucket S3 terenkripsi.
  7. Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  8. Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
  9. Klik Simpan.

Menyiapkan feed

Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Feed Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS Session Manager

  1. Klik paket Amazon Cloud Platform.
  2. Temukan jenis log AWS Session Manager.

  3. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya dari bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Sertakan file yang diubah dalam jumlah hari terakhir. Nilai default adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang merupakan string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang merupakan string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi sebelumnya yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  4. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
--cid metadata.description Bagian dari kolom deskripsi jika ada dalam log
--collector.filesystem.ignored-mount-points metadata.description Bagian dari kolom deskripsi jika ada dalam log
--collector.vmstat.fields metadata.description Bagian dari kolom deskripsi jika ada dalam log
--message-log metadata.description Bagian dari kolom deskripsi jika ada dalam log
--name metadata.description Bagian dari kolom deskripsi jika ada dalam log
--net metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.procfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.rootfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
--path.sysfs metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /:/rootfs:ro metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /proc:/host/proc metadata.description Bagian dari kolom deskripsi jika ada dalam log
-v /sys:/host/sys metadata.description Bagian dari kolom deskripsi jika ada dalam log
CID metadata.description Bagian dari kolom deskripsi jika ada dalam log
ERROR security_result.severity Diekstrak dari pesan log menggunakan pencocokan pola grok.
falconctl metadata.description Bagian dari kolom deskripsi jika ada dalam log
ip-1-2-4-2 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
ip-1-2-8-6 principal.ip Diekstrak dari pesan log menggunakan pencocokan pola grok dan dikonversi ke format alamat IP standar.
java target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
Jun13 metadata.event_timestamp.seconds Bagian dari kolom stempel waktu jika ada dalam log, dikombinasikan dengan kolom month_date dan time_stamp.
[kworker/u16:8-kverityd] target.process.command_line Diekstrak dari pesan log menggunakan pencocokan pola grok.
root principal.user.userid Diekstrak dari pesan log menggunakan pencocokan pola grok.
metadata.event_type Ditentukan berdasarkan keberadaan dan nilai kolom lainnya:
- "STATUS_UPDATE" jika src_ip ada.
- "NETWORK_CONNECTION" jika src_ip dan dest_ip ada.
- "USER_UNCATEGORIZED" jika user_id ada.
- "GENERIC_EVENT" jika tidak.
metadata.log_type Ditetapkan ke "AWS_SESSION_MANAGER".
metadata.product_name Ditetapkan ke "AWS Session Manager".
metadata.vendor_name Ditetapkan ke "Amazon".
target.process.pid Diekstrak dari pesan log menggunakan pencocokan pola grok.

Log Perubahan

Lihat Log Perubahan untuk parser ini

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.