Les détections sélectionnées, l'investigation des menaces et les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) de Security Command Center pour Amazon Web Services (AWS) nécessitent l'ingestion des journaux AWS à l'aide du pipeline d'ingestion de la console Security Operations. Les types de journaux AWS requis pour l'ingestion varient en fonction de ce que vous configurez:
- Le CIEM nécessite des données du type de journal AWS CloudTrail.
- Les détections sélectionnées nécessitent des données provenant de plusieurs types de journaux AWS.
Pour en savoir plus sur les différents types de journaux AWS, consultez la section Appareils et types de journaux compatibles.
Détections sélectionnées
Pour les détections sélectionnées, chaque ensemble de règles AWS nécessite certaines données pour fonctionner comme prévu, y compris un ou plusieurs des éléments suivants:
- Journaux AWS CloudTrail
- AWS GuardDuty
- Données contextuelles AWS sur les hôtes, les services, les VPC et les utilisateurs
Pour utiliser ces détections sélectionnées, vous devez ingérer les données AWS dans Google Security Operations, puis activer les règles de détection sélectionnées. Pour savoir comment configurer l'ingestion des données AWS, consultez la section Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps. Pour savoir comment activer les règles de détection sélectionnées, consultez la section Utiliser des détections sélectionnées pour identifier les menaces dans la documentation Google SecOps.
Configurer l'ingestion des journaux AWS pour le CIEM
Pour générer des résultats pour votre environnement AWS, les fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management) nécessitent des données issues des journaux AWS CloudTrail.
Pour utiliser le CIEM, procédez comme suit lorsque vous configurez l'ingestion des journaux AWS.
Lorsque vous configurez AWS CloudTrail, procédez comme suit:
- Créez une piste au niveau de l'organisation qui extrait les données de journal de tous les comptes AWS de votre environnement.
- Définissez le bucket S3 que vous choisissez pour que CIEM consigne les événements de données et les événements de gestion de toutes les régions. En outre, sélectionnez tous les services applicables à partir desquels vous souhaitez ingérer des événements de données. Sans ces données d'événement, la CIEM ne peut pas générer de résultats précis pour AWS.
Lorsque vous configurez un flux pour ingérer des journaux AWS dans la console Security Operations, procédez comme suit:
- Créez un flux qui ingère tous les journaux de compte du bucket S3 pour toutes les régions.
- Définissez la paire clé-valeur Libellé d'ingestion du flux sur
CIEMetTRUE.
Si vous ne configurez pas correctement l'ingestion des journaux, le service de détection CIEM peut afficher des résultats incorrects. De plus, en cas de problème avec votre configuration CloudTrail, Security Command Center affiche le CIEM AWS CloudTrail configuration error.
Pour configurer l'ingestion des journaux, consultez Ingérer des journaux AWS dans Google Security Operations dans la documentation Google SecOps.
Pour obtenir des instructions complètes sur l'activation du CIEM, consultez la page Activer le service de détection du CIEM pour AWS. Pour en savoir plus sur les fonctionnalités de CIEM, consultez la section Présentation de Cloud Infrastructure Entitlement Management.