Amazon AWS CloudTrail -Protokollquelle in QRadar Console mit einem Verzeichnispräfix hinzufügen

Wenn Sie AWS CloudTrail -Protokolle aus einem einzelnen Konto und einer einzelnen Region in einem Amazon S3 -Bucket erfassen wollen, fügen Sie eine Protokollquelle in QRadar Console hinzu, damit Amazon AWS CloudTrail mit QRadar kommunizieren kann, indem Sie das Amazon-REST-API-Protokoll AWS S3 mit einem Verzeichnispräfix verwenden.

Vorgehensweise

  1. Verwenden Sie die folgende Tabelle, wenn Sie die Parameter für eine Amazon AWS CloudTrail -Protokollquelle festlegen möchten, die das Amazon AWS S3 -REST-API-Protokoll und ein Präfix verwenden.
    Tabelle 1. Protokollquellenparameter für Amazon AWS S3 REST-API-Protokoll
    Parameter Beschreibung
    Protokollquellentyp Amazon AWS CloudTrail
    Protokollkonfiguration Amazon AWS S3 -REST-API
    Log Source Identifier (Protokollquellenkennung)

    Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

    Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Die Protokollquellen-ID kann mit dem Protokollquellennamenidentisch sein. Wenn mehrere Amazon AWS CloudTrail -Protokollquellen konfiguriert sind, können Sie die erste Protokollquelle als awscloudtrail1, die zweite Protokollquelle als awscloudtrail2und die dritte Protokollquelle als awscloudtrail3angeben.
    Authentifizierungsmethode
    Zugriffsschlüssel-ID/geheimer Schlüssel
    Standardauthentifizierung, die von überall verwendet werden kann.
    Weitere Informationen zum Konfigurieren von Sicherheitsberechtigungsnachweisen finden Sie unter Sicherheitsberechtigungsnachweise für Ihr Benutzerkonto AWS konfigurieren.
    IAM-Rolle übernehmen
    Authentifizieren Sie sich mit Schlüsseln und übernehmen Sie vorübergehend eine Rolle für den Zugriff. Diese Option ist nur verfügbar, wenn Sie SQS Event Notifications für die S3 Erfassungsmethodeauswählen. Die unterstützte S3 -Erfassungsmethode ist Spezielles Präfix verwenden.
    Weitere Informationen zum Erstellen von IAM-Benutzern und Zuweisen von Rollen finden Sie unter IAM-Benutzer in der AWS -Managementkonsole erstellen.
    IAM-Rolle der EC2 -Instanz
    Wenn Ihr verwalteter Host auf einer AWS EC2 -Instanz ausgeführt wird, wird bei Auswahl dieser Option die IAM-Rolle aus den Instanzmetadaten verwendet, die der Instanz zur Authentifizierung zugeordnet wurden; es sind keine Schlüssel erforderlich. Diese Methode funktioniert nur für verwaltete Hosts, die innerhalb eines AWS EC2 -Containers ausgeführt werden.
    Zugriffsschlüssel-ID

    Wenn Sie Zugriffsschlüssel-ID/Geheimschlüssel für die Authentifizierungsmethodeausgewählt haben, wird der Parameter Zugriffsschlüssel-ID angezeigt.

    Die Zugriffsschlüssel-ID , die beim Konfigurieren der Sicherheitsberechtigungsnachweise für Ihr AWS -Benutzerkonto generiert wurde. Dieser Wert ist auch die Zugriffsschlüssel-ID , die für den Zugriff auf das S3 -Bucket AWS verwendet wird.
    Geheimer Schlüssel

    Wenn Sie Zugriffsschlüssel-ID/Geheimer Schlüssel als Authentifizierungsmethodeausgewählt haben, wird der Parameter ID des geheimen Schlüssels angezeigt.

    Der geheime Schlüssel , der beim Konfigurieren der Sicherheitsberechtigungsnachweise für Ihr AWS -Benutzerkonto generiert wurde. Dieser Wert ist auch die ID des geheimen Schlüssels , die für den Zugriff auf das S3 -Bucket von AWS verwendet wird.
    Ereignisformat Wählen Sie AWS Cloud Trail JSONaus. Die Protokollquelle ruft Ereignisse im JSON-Format ab.
    ErfassungsmethodeS3 Wählen Sie Bestimmtes Präfix verwendenaus.
    Bucketname

    Der Name des AWS S3 -Buckets, in dem die Protokolldateien gespeichert werden.
    Verzeichnispräfix

    Die Position des Stammverzeichnisses im AWS S3 -Bucket, aus dem die CloudTrail -Protokolle abgerufen werden. Beispiel: AWSLogs/<AccountNumber>/CloudTrail/<RegionName>/

    Zum Extrahieren von Dateien aus dem Stammverzeichnis eines Buckets müssen Sie einen Schrägstrich (/) im Dateipfad Verzeichnispräfix verwenden.

    Hinweis:
    • Wenn Sie den Wert für Verzeichnispräfix ändern, wird die als persistent definierte Dateimarkierung gelöscht. Alle Dateien, die mit dem neuen Präfix übereinstimmen, werden bei der nächsten Pull-Operation heruntergeladen.
    • Der Pfad der Datei Verzeichnispräfix darf nicht mit einem Schrägstrich (/) beginnen, es sei denn, es wird nur der Schrägstrich zum Erfassen von Daten aus dem Stammverzeichnis des Buckets verwendet.
    • Wenn der Dateipfad Verzeichnispräfix zur Angabe von Ordnern verwendet wird, dürfen Sie den Dateipfad nicht mit einem Schrägstrich beginnen (verwenden Sie beispielsweise stattdessen folder1/folder2 ).
    Regionsname Die Region, in der sich die SQS-Warteschlange oder das S3 -Bucket befindet

    Beispiel: us-east-1, eu-west-1, ap-northeast-3
    Als Gateway-Protokollquelle verwenden Wählen Sie diese Option aus, damit die erfassten Ereignisse durch die QRadar Traffic Analysis Engine fließen und QRadar automatisch eine oder mehrere Protokollquellen erkennt.
    Protokollquellen-ID-Muster

    Diese Option ist verfügbar, wenn Als Gateway-Protokollquelle verwenden auf 'Ja' gesetzt ist.

    Verwenden Sie diese Option, wenn Sie eine angepasste Protokollquellenkennung für Ereignisse definieren möchten, die verarbeitet werden. Dieses Feld akzeptiert Schlüssel/Wert-Paare, um die angepasste Protokollquellen-ID zu definieren, wobei der Schlüssel die ID-Formatierzeichenfolge und der Wert das zugehörige Muster für reguläre Ausdrücke ist. Sie können mehrere Schlüssel/Wert-Paare definieren, indem Sie ein Muster in einer neuen Zeile eingeben. Wenn mehrere Muster verwendet werden, werden sie in der Reihenfolge ausgewertet, bis eine Übereinstimmung gefunden wird und eine angepasste Protokollquellen-ID zurückgegeben wird.
    Erweiterte Optionen einblenden Wählen Sie diese Option aus, wenn Sie die Ereignisdaten anpassen möchten.
    Dateimuster

    Diese Option ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf "Ja" setzen.

    Geben Sie einen regulären Ausdruck für das Dateimuster ein, das den Dateien entspricht, die Sie extrahieren möchten, z. B. .*?\.json\.gz .
    Lokales Verzeichnis

    Diese Option ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf "Ja" setzen.

    Das lokale Verzeichnis auf dem Zielereigniskollektor. Das Verzeichnis muss vorhanden sein, bevor das AWS S3 REST-API-Protokoll versucht, Ereignisse abzurufen.
    URL

    Diese Option ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf "Ja" setzen.

    URL, die zur Abfrage AWS verwendet wird.

    Wenn Ihre URL von der Standard-URL abweicht, geben Sie Ihre URL ein. Die Standardeinstellung ist http://s3.amazonaws.com
    S3 -Pfadstilzugriff verwenden

    Erzwingt, dass S3 -Anforderungen den Zugriff im Pfadstil verwenden.

    Diese Methode ist in AWSveraltet. Es kann jedoch erforderlich sein, wenn andere S3 -kompatible APIs verwendet werden. Beispiel: Der https://s3.region.amazonaws.com/bucket-name/key-name -Pfadstil wird automatisch verwendet, wenn ein Bucketname einen Punkt (.) enthält. Daher ist diese Option nicht erforderlich, kann aber verwendet werden.
    Proxy verwenden

    Wenn QRadar über einen Proxy auf den Amazon Web Service zugreift, aktivieren Sie Proxy verwenden.

    Wenn der Proxy eine Authentifizierung erfordert, konfigurieren Sie die Felder Proxy-Server, Proxy-Port, Proxy-Benutzernameund Proxy-Kennwort .

    Wenn der Proxy keine Authentifizierung erfordert, konfigurieren Sie die Felder Proxy-Server und Proxy-Port .
    Wiederholung Gibt an, wie oft das Amazon AWS S3 REST-API-Protokoll eine Verbindung zur Amazon-Cloud-API herstellt, nach neuen Dateien sucht und diese abruft. Jeder Zugriff auf ein AWS S3 -Bucket verursacht Kosten für das Konto, das Eigner des Buckets ist. Daher erhöht ein kleinerer Wiederholungswert die Kosten.

    Geben Sie ein Zeitintervall ein, um festzulegen, wie häufig das ferne Verzeichnis nach neuen Ereignisprotokolldateien durchsucht wird. Der Mindestwert ist 1 Minute. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: 2H = 2 Stunden, 15 M = 15 Minuten.
    EPS-Regulierung

    Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt.

    Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet.

    Der Standardwert ist 5000.
  2. In der folgenden Tabelle finden Sie ein Beispiel für eine geparste Ereignisnachricht, um zu überprüfen, ob QRadar ordnungsgemäß konfiguriert ist.
    Tabelle 2. Amazon AWS CloudTrail -Beispielnachricht, die von Amazon AWS CloudTrailunterstützt wird.
    Ereignisname Untergeordnete Kategorie Beispielprotokollnachricht
    Konsolenanmeldung Allgemeines Prüfereignis 
    {"eventVersion":"1.02",
"userIdentity":{"type":"IAMUser",
"principalId":"XXXXXXXXXXXXXXXXXXXXX",
"arn":"arn:aws:iam::<Account_number>:user/
xx.xxccountId":"<Account_number>","userName":
"<Username>"},"eventTime":
"2016-05-04T14:10:58Z","eventSource":
"f.amazonaws.com","eventName":
"ConsoleLogin","awsRegion":
"us-east-1","sourceIPAddress":
"<Source_IP_address> Agent":"Mozilla/5.0
 (Windows NT 6.1; Win64; x64)
 AppleWebKit/537.36 (KHTML, like Gecko)
 Chrome/50.0.1.1 Safari/537.36",
"requestParameters":null,
"responseElements":
{"ConsoleLogin":"Success"},
"additionalEventData":
{"LoginTo":"www.webpage.com",
"MobileVersion":"No","MFAUsed":"No"},
"eventID":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"eventType":"AwsConsoleSignIn",
"recipientAccountId":"<Account_ID>"}