Nawiązywanie połączenia ze źródłem danych Amazon CloudWatch

Połącz źródło danych Amazon CloudWatch z produktem IBM Security QRadar Suite Software , aby umożliwić aplikacjom i panelom kontrolnym gromadzenie i analizowanie danych dotyczących zabezpieczeń produktu Amazon CloudWatch . Konektory Universal Data Insights umożliwiają wyszukiwanie stowarzyszone między produktami zabezpieczeń.

Zanim rozpoczniesz

Współpracuj z administratorem AWS , aby uzyskać konto użytkownika z dostępem do źródła danych CloudWatch .

Jeśli między klastrem a miejscem docelowym źródła danych znajduje się firewall, do udostępniania kontenerów należy użyć programu IBM® Security Edge Gateway . Edge Gateway musi być w wersji V1.6 lub nowszej. Więcej informacji na ten temat zawiera sekcja Edge Gateway.

Informacje o tym zadaniu

Produkt Amazon CloudWatchumożliwia scentralizowany dostęp do dzienników ze wszystkich systemów Amazon , aplikacji i Amazon Web Services (AWS) w ramach jednej usługi.

IBM Security QRadar Suite Software obecnie obsługuje połączenie ze źródłem danych dla dzienników Amazon GuardDuty i VPC Flow.

Informacje o ustrukturyzowanych zagrożeniach eXpression (STIX) to język i format serializacji używany przez organizacje do wymiany informacji o zagrożeniach cybernetycznych. Konektor używa wzorców STIX do odpytywania danych Amazon CloudWatch i zwraca wyniki jako obiekty STIX. Więcej informacji na temat sposobu odwzorowania schematu danych Amazon CloudWatch na schemat STIX zawiera sekcja Amazon CloudWatch repozytorium stix-shifter (https://github.com/opencybersecurityalliance/stix-shifter/tree/develop/stix_shifter_modules/aws_cloud_watch_logs).

Procedura

  1. Zaloguj się do serwisu IBM Security QRadar Suite Software.
  2. W menu kliknij opcje Connections > Źródła danych.
  3. Na karcie Źródła danych kliknij opcję Połącz źródło danych.
  4. Kliknij opcję Dzienniki Amazon CloudWatch, a następnie kliknij przycisk Dalej.
  5. Skonfiguruj połączenie, aby umożliwić programowi IBM Security QRadar Suite Software nawiązanie połączenia ze źródłem danych.
    1. W polu Nazwa źródła danych przypisz nazwę jednoznacznie identyfikującą połączenie ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, aby można było je wyraźnie oddzielić za pomocą nazwy. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    2. W polu Opis źródła danych wpisz opis wskazujący przeznaczenie połączenia ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, dlatego warto wyraźnie wskazać przeznaczenie każdego połączenia za pomocą opisu. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    3. Jeśli między klastrem a miejscem docelowym źródła danych znajduje się firewall, do udostępniania kontenerów należy użyć Edge Gateway . W polu Brama brzegowa (opcjonalnie) określ, który Edge Gateway ma być używany.
      Wybierz Edge Gateway , aby udostępnić konektory udostępniające komunikację między źródłami danych i produktem QRadar Suite Software. Wyświetlenie statusu nowo wdrożonych połączeń źródła danych w Edge Gateway może potrwać do pięciu minut.
    4. W polu Region określ region CloudWatch dla źródła danych. Wybierz kod regionu w kolumnie Region tabeli Punkty końcowe usługi w publikacji AWS Ogólne informacje dodatkowe (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
    5. W polu Nazwy grup dzienników podaj nazwy grup dzienników CloudWatch , z którymi ma zostać nawiązane połączenie. Jeśli nazwy grup dzienników nie zostaną określone, zostaną połączone wszystkie dostępne grupy dzienników.
      To pole jest opcjonalne. Wartość pola Nazwy grup dzienników musi mieć konkretny format JSON:
      {"<service_type>": "<service_log_group_name>"}
      Na przykład:
      {"vpcflow": "vpcflow_log_group_name"}
      Aby pobrać dzienniki z wielu typów usług, można podać typy usług i powiązane z nimi nazwy grup dzienników w formacie JSON, rozdzielając je przecinkami. Na przykład:
      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}
  6. Ustaw parametry zapytania, aby kontrolować zachowanie zapytania wyszukiwania w źródle danych.
    1. W polu Limit współbieżnego wyszukiwania ustaw liczbę jednoczesnych połączeń, które można nawiązać między programem QRadar Suite Software i źródłem danych. Domyślnym limitem liczby połączeń jest 4. Wartość nie może być mniejsza niż 1 i nie może być większa niż 100.
    2. W polu Limit czasu wyszukiwania zapytania ustaw limit czasu (w minutach), przez jaki zapytanie jest uruchamiane w źródle danych. Domyślnym limitem czasu jest 30. Jeśli wartość jest ustawiona na zero, nie ma limitu czasu. Wartość nie może być mniejsza niż 1 i nie może być większa niż 120.
    3. W polu Limit wielkości wyników ustaw maksymalną liczbę pozycji lub obiektów zwracanych przez zapytanie do wyszukania. Domyślnym limitem wielkości wyniku jest 10 000. Wartość nie może być mniejsza niż 1 i nie może być większa niż 500 000.
    4. W polu Zakres czasu zapytania ustaw zakres czasu w minutach dla wyszukiwania, reprezentowany przez ostatnie X minut. Wartością domyślną jest 5 minut. Wartość nie może być mniejsza niż 1 i nie może być większa niż 10 000.
    Ważne: W przypadku zwiększenia limitu współbieżnego wyszukiwania i limitu wielkości wyników większa ilość danych może zostać wysłana z produktu QRadar Suite Software, co zwiększa obciążenie źródeł danych. Zwiększenie zakresu czasu zapytania zwiększa również ilość danych.
  7. Opcjonalnie: Jeśli konieczne jest dostosowanie odwzorowania atrybutów STIX, kliknij opcję Dostosuj odwzorowanie atrybutów i zmodyfikuj obiekt JSON blob, aby odwzorować nowe lub istniejące właściwości na powiązane z nimi pola docelowego źródła danych.
  8. Kliknij opcję Dodaj konfigurację.
  9. Skonfiguruj tożsamość i dostęp.
    1. Kliknij opcję Edytuj dostęp i wybierz użytkowników, którzy mogą łączyć się ze źródłem danych i typ dostępu.
    2. W polu Nazwa konfiguracji wprowadź unikalną nazwę opisującą konfigurację dostępu i odróżniającą ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    3. W polu Opis konfiguracji wprowadź unikalny opis opisujący konfigurację dostępu i odróżniający ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    4. Ustanów AWS uwierzytelnianie, aby umożliwić programowi QRadar Suite Software dostęp do interfejsu API wyszukiwania AWS .
      • Aby ustanowić uwierzytelnianie oparte na kluczu AWS , należy wprowadzić wartości dla parametrów AWS ID klucza dostępu i AWS tajny klucz dostępu .
      • Aby ustanowić uwierzytelnianie oparte na rolach w systemie AWS , wprowadź wartości dla parametrów AWS Access key id, AWS secret access keyi AWS IAM Role .
      Więcej informacji na temat uwierzytelniania AWS zawiera sekcja Konfigurowanie uwierzytelniania AWS.
    5. Jeśli produkt CloudWatch jest skonfigurowany z samopodpisanym certyfikatem SSL (Security Sockets Layer), dodaj certyfikat połączenia.

      Aby potwierdzić, że masz certyfikat samopodpisany, możesz wyszukać w sieci WWW 'ssl decode', a następnie skopiować i wkleić certyfikat do dekodera certyfikatu. Jeśli wartość w polu Nazwa zwykła jest lokalna, na przykład: yourlocalhost.yourlocaldomain, oznacza to certyfikat samopodpisany.

      Skopiuj szczegóły certyfikatu i wklej je w udostępnionym obszarze.

    6. Kliknij przycisk Dodaj.
    7. Aby zapisać konfigurację i nawiązać połączenie, kliknij przycisk Gotowe.
  10. Aby edytować konfiguracje, wykonaj następujące kroki:
    1. Na karcie Źródła danych wybierz połączenie ze źródłem danych, które ma być edytowane.
    2. W sekcji Konfiguracje kliknij opcję Edytuj konfigurację (Ikona edycji konfiguracji).
    3. Zmodyfikuj parametry tożsamości i dostępu, a następnie kliknij przycisk Zapisz.

Wyniki

Na stronie Ustawienia źródła danych można wyświetlić konfigurację połączenia źródła danych, która została dodana w sekcji Połączenia . Komunikat na karcie wskazuje połączenie ze źródłem danych.

Po dodaniu źródła danych może upłynąć kilka minut, zanim zostanie ono wyświetlone jako połączone.
Wskazówka: Po podłączeniu źródła danych pobranie danych może potrwać do 30 sekund. Przed zwróceniem pełnego zestawu danych źródło danych może być wyświetlane jako niedostępne. Po zwróceniu danych źródło danych jest wyświetlane jako połączone i występuje mechanizm odpytywania sprawdzający status połączenia. Status połączenia jest poprawny przez 60 sekund po każdym odpytywaniu.

Co dalej

Przetestuj połączenie, wyszukując w pliku IBM Security Data Explorer adres IP zgodny ze źródłem danych zasobu. W programie Data Explorerkliknij adres IP, aby wyświetlić powiązane z nim zasoby i ryzyko.

Aby używać produktu Data Explorer, należy mieć połączone źródła danych, aby aplikacja mogła uruchamiać zapytania i pobierać wyniki z ujednoliconego zestawu źródeł danych. Wyniki wyszukiwania różnią się w zależności od danych zawartych w skonfigurowanych źródłach danych. Więcej informacji na temat budowania zapytania w produkcie Data Explorerzawiera sekcja Budowanie zapytania.