Dodawanie źródła dziennika Amazon AWS CloudTrail na serwerze QRadar Console przy użyciu kolejki SQS
Aby gromadzić dzienniki AWS CloudTrail z wielu kont lub regionów w zasobniku Amazon S3 , należy dodać źródło dziennika na serwerze QRadar® Console , aby Amazon AWS CloudTrail mógł komunikować się z produktem QRadar przy użyciu protokołu Amazon AWS S3 REST API i kolejki Simple Queue Service (SQS).
Procedura
- Użyj poniższej tabeli, aby ustawić parametry dla źródła dziennika Amazon AWS CloudTrail , które korzysta z protokołu API usług Amazon AWS S3 REST oraz kolejki SQS.
Tabela 1. Parametry źródła dziennika protokołu API Amazon AWS S3 REST API Parametr Opis Typ źródła dziennika Amazon AWS CloudTrail Konfiguracja protokołu Amazon AWS S3 REST API Identyfikator źródła dziennika Wpisz unikalną nazwę źródła dziennika.
Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Identyfikator źródła dziennika może mieć taką samą wartość, jak nazwa źródła dziennika. Jeśli istnieje więcej niż jeden skonfigurowany źródło dziennika Amazon AWS CloudTrail , może być konieczne zidentyfikowanie pierwszego źródła dziennika jako awscloudtrail1, drugiego źródła dziennika jako awscloudtrail2oraz trzeciego źródła dziennika jako awscloudtrail3.
Metoda uwierzytelniania - Identyfikator klucza dostępu/klucz tajny
- Standardowe uwierzytelnianie, które może być używane z dowolnego miejsca.
- Przyjmij rolę IAM
- Uwierzytelnij się za pomocą kluczy, a następnie tymczasowo przyjmij rolę dostępu. Ta opcja jest dostępna tylko po wybraniu opcji SQS Event Notifications w przypadku metody S3 Collection Method. Obsługiwana metoda S3 Collection Method ma wartość Use a Specific Prefix.
- Rola IAM instancji EC2
- Jeśli zarządzany host działa w instancji AWS EC2 , wybranie tej opcji korzysta z roli IAM z metadanych instancji, które są przypisane do instancji w celu uwierzytelniania; nie są wymagane żadne klucze. Ta metoda działa tylko w przypadku hostów zarządzanych, które działają w kontenerze AWS EC2 .
Identyfikator klucza dostępu Jeśli dla opcji Metoda uwierzytelnianiawybrano opcję Identyfikator klucza dostępu/klucz tajny , zostanie wyświetlony parametr Identyfikator klucza dostępu .
ID klucza dostępu , który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Ta wartość jest również ID klucza dostępu , który jest używany do uzyskiwania dostępu do zasobnika AWS S3 .
Klucz tajny Jeśli dla opcji Metoda uwierzytelnianiawybrano opcję Identyfikator klucza dostępu/klucz tajny , zostanie wyświetlony parametr Identyfikator klucza tajnego .
Klucz tajny , który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Ta wartość jest również ID klucza tajnego , który jest używany do uzyskiwania dostępu do zasobnika AWS S3 .
Format zdarzenia Wybierz opcję AWS Cloud Trail JSON. Źródło dziennika pobiera zdarzenia w formacie JSON. Metoda gromadzeniaS3 Wybierz opcję SQS Event Notifications. Adres URL kolejki SQS Wprowadź pełny adres URL, zaczynając od https://, z kolejki SQS, która jest ustawiona w celu otrzymywania powiadomień dla zdarzeń ObjectCreate z S3.
Nazwa regionu Region, w którym znajduje się kolejka SQS lub obiekt S3 Bucket. Przykład: us-east-1, eu-west-1, ap-northeast-3
Użyj jako źródła dziennika bramy Wybierz tę opcję dla zebranych zdarzeń, aby przepływać przez mechanizm analizy ruchu QRadar i dla produktu QRadar w celu automatycznego wykrywania jednego lub większej liczby źródeł dzienników. Wzorzec identyfikatora źródła dziennika Ta opcja jest dostępna po ustawieniu opcji Użyj jako źródła dziennika bramy na wartość Tak.
Użyj tej opcji, jeśli chcesz zdefiniować niestandardowy identyfikator źródła dziennika dla przetwarzanych zdarzeń. To pole akceptuje pary klucz-wartość, aby zdefiniować niestandardowy identyfikator źródła dziennika, gdzie klucz jest łańcuchem formatu identyfikatora, a wartość jest skojarzonym wzorcem wyrażenia regularnego. Można zdefiniować wiele par klucz-wartość, wprowadzając wzorzec w nowej linii. Jeśli używanych jest wiele wzorców, są one wartościowane w kolejności do momentu znalezienia zgodności i można zwrócić niestandardowy identyfikator źródła dziennika.
Pokaż opcje zaawansowane Wybierz tę opcję, jeśli chcesz dostosować dane zdarzenia. Wzorzec nazwy pliku Ta opcja jest dostępna po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak.
Wpisz wyrażenie regularne dla wzorca pliku, który jest zgodny z plikami, które mają zostać wyciągane, na przykład .*?\.json\.gz
Katalog lokalny Ta opcja jest dostępna po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak.
Katalog lokalny w docelowym kolektorze zdarzeń. Katalog musi istnieć przed próbą pobrania zdarzeń przez program AWS S3 REST API PROTOCOL.
S3 Adres URL punktu końcowego Ta opcja jest dostępna po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak.
Adres URL punktu końcowego, który jest używany do wysyłania zapytań do interfejsu REST API AWS .
Jeśli adres URL punktu końcowego różni się od wartości domyślnej, wpisz adres URL punktu końcowego. Wartość domyślna to http://s3.amazonaws.com .
Korzystanie z dostępu do stylu S3 -styl dostępu Wymusza użycie żądań S3 w celu użycia dostępu do stylu ścieżki.
Ta metoda jest nieaktualna przez program AWS. Może być jednak wymagane, gdy używane są inne interfejsy API zgodne z S3 . Na przykład: styl ścieżki https://s3.region.amazonaws.com/bucket-name/key-name jest automatycznie używany, gdy nazwa porcji zawiera kropkę (.). Z tego powodu ta opcja nie jest wymagana, ale może być używana.
Użyj proxy Jeśli program QRadar uzyskuje dostęp do usługi Amazon Web Service za pomocą proxy, włącz opcję Użyj serwera proxy.
Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy .
Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy i Port proxy .
Powtarzanie Jak często odpytywanie jest wykonywane w celu skanowania nowych danych. Jeśli używana jest metoda gromadzenia zdarzeń SQS, SQS Event Notifications może mieć wartość minimalną 10 (sekundy). Ponieważ odpytywanie kolejki SQS może występować częściej, można użyć niższej wartości.
Jeśli używana jest metoda gromadzenia zdarzeń Przedrostek katalogu, Użyj konkretnego przedrostka ma minimalną wartość 60 (sekundy) lub 1M. Ponieważ każda z żądań listBucket do zasobnika AWS S3 jest kosztem konta, które jest właścicielem zasobnika, mniejsza wartość cykliczności zwiększa koszt.
Wpisz odstęp czasu, aby określić częstotliwość odpytywania dla nowych danych. Przedział czasu może zawierać wartości w godzinach (H), minutach (M) lub dniach (D). Na przykład: 2H = 2 godziny, 15M = 15 minut, 30 = sekundy.
Ograniczenie EPS Maksymalna liczba zdarzeń na sekundę, które są wysyłane do potoku przepływu. Wartością domyślną jest 5000. Upewnij się, że wartość EPS Throttle jest większa niż szybkość przychodząca lub przetwarzanie danych może być opóźniane.
- Aby sprawdzić, czy produkt QRadar jest poprawnie skonfigurowany, należy przejrzeć poniższą tabelę, aby zobaczyć przykład przeanalizowanego komunikatu zdarzenia.
Tabela 2. Przykładowa wiadomość Amazon AWS CloudTrail obsługiwana przez Amazon AWS CloudTrail. Nazwa zdarzenia Kategoria niskiego poziomu Przykładowy komunikat dziennika Logowanie do konsoli Ogólne zdarzenie kontroli {"eventVersion":"1.02", "userIdentity":{"type":"IAMUser", "principalId":"XXXXXXXXXXXXXXXXXXXXX", "arn":"arn:aws:iam::<Account_number>:user/ xx.xxccountId":"<Account_number>","userName": "<Username>"},"eventTime": "2016-05-04T14:10:58Z","eventSource": "f.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "<Source_IP_address> Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.1.1 Safari/537.36", "requestParameters":null, "responseElements": {"ConsoleLogin":"Success"}, "additionalEventData": {"LoginTo":"www.webpage.com", "MobileVersion":"No","MFAUsed":"No"}, "eventID":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "eventType":"AwsConsoleSignIn", "recipientAccountId":"<Account_ID>"}