Configuration d’une source de journaux Amazon AWS CloudTrail à l’aide du protocole de l’API REST Amazon AWS S3
Si vous souhaitez collecter des journaux AWS CloudTrail à partir de compartiments Amazon S3, configurez une source de journaux sur la console JSA afin qu’Amazon AWS CloudTrail puisse communiquer avec JSA à l’aide du protocole de l’API REST Amazon AWS S3.
Installez la version la plus récente des RPM suivants sur votre console JSA .
Protocole RPM commun
Protocole de l’API REST Amazon AWS S3 RPM
DSMCommon RPM
Amazon Web Service RPM
Amazon AWS CloudTrail DSM RPM
Choisissez la méthode que vous utiliserez pour configurer une source de journal Amazon AWS CloudTrail à l’aide de la console JSA Protocole de l’API REST Amazon AWS S3.
Création d’un utilisateur de gestion des identités et des accès (IAM) dans AWS Management Console lors de l’utilisation de l’API REST Amazon AWS S3
Un administrateur Amazon doit créer un utilisateur, puis appliquer la stratégie AmazonS3ReadOnlyAccess dans AWS Management Console. L’utilisateur JSA peut ensuite créer une source de journal dans JSA.
Vous pouvez également attribuer des autorisations plus précises au compartiment. Les autorisations minimales requises sont s3 :listBucket et s3 :getObject
Créez un utilisateur :
Connectez-vous à AWS Management Console en tant qu’administrateur.
Créez un utilisateur Amazon AWS IAM, puis appliquez la stratégie AmazonS3ReadOnlyAccess.
Recherchez le nom du compartiment S3 et le préfixe de répertoire que vous utilisez pour configurer une source de journal dans JSA :
Cliquez sur Services.
Dans la liste, sélectionnez CloudTrail.
Sur la page Trails, cliquez sur le nom du trail.
Notez le nom du compartiment S3 qui s’affiche dans le champ compartiment S3.
Cliquez sur l’icône Modifier
Cliquez sur l’icône Avancé.
Notez le chemin d’accès à l’emplacement du compartiment S3 qui s’affiche sous le champ Préfixe du fichier journal.
Configurez la source du journal dans JSA . Le nom du compartiment S3 est la valeur du champ Nom du compartiment . Le chemin d’accès à l’emplacement du compartiment S3 est la valeur du champ Préfixe Répertoire .
Création d’une file d’attente SQS et configuration des notifications S3 ObjectCreated
Avant de pouvoir ajouter une source de journal dans JSA, vous devez créer une file d’attente SQS et configurer les notifications S3 ObjectCreated dans AWS Management Console lorsque vous utilisez le protocole de l’API REST Amazon AWS S3.
Procédez comme suit :
Recherche ou création du compartiment S3 qui contient les données que vous souhaitez collecter.
Création de la file d’attente SQS utilisée pour recevoir les notifications ObjectCreated à partir du compartiment S3 que vous avez utilisé dans « Recherche ou création du compartiment S3 qui contient les données que vous souhaitez collecter ».
Configuration des autorisations de file d’attente SQS.
Création de notifications ObjectCreated.
- Recherche ou création du compartiment S3 qui contient les données que vous souhaitez collecter
- Création de la file d’attente SQS utilisée pour recevoir les notifications ObjectCreated
- Configuration des autorisations de file d’attente SQS
- Création de notifications ObjectCreated
Recherche ou création du compartiment S3 qui contient les données que vous souhaitez collecter
Vous devez rechercher ou créer et noter la région du compartiment S3 qui contient les données que vous souhaitez collecter.
Connectez-vous à AWS Management Console en tant qu’administrateur.
Cliquez sur Services, puis accédez à la console de gestion du service de file d’attente simple.
-
Dans la colonne Région AWS de la liste Compartiments , notez la région où se trouve le compartiment à partir duquel vous souhaitez collecter des données. Vous avez besoin de la région pour la valeur du paramètre Nom de la région lorsque vous ajoutez une source de journal dans JSA.
-
Cochez la case en regard du nom du compartiment, puis dans le panneau qui s’ouvre à droite, cliquez sur Copier l’ARN du compartiment pour copier la valeur dans le presse-papiers. Enregistrez cette valeur ou laissez-la dans le presse-papiers. Vous avez besoin de cette valeur lorsque vous terminez la section « Création de la file d’attente SQS utilisée pour recevoir les notifications ObjectCreated ».
Création de la file d’attente SQS utilisée pour recevoir les notifications ObjectCreated
Vous devez créer une file d’attente SQS et configurer les notifications S3 ObjectCreated dans AWS Management Console lorsque vous utilisez le protocole de l’API REST Amazon AWS S3.
Vous devez suivre la procédure « Recherche du compartiment S3 qui contient les données que vous souhaitez collecter ».
La file d’attente SQS doit se trouver dans la même région que le compartiment AWS S3 à partir duquel la file d’attente est collectée.
Connectez-vous à AWS Management Console en tant qu’administrateur.
-
Cliquez sur Services, puis accédez à la console de gestion du service de file d’attente simple.
-
Dans l’angle supérieur droit de la fenêtre, définissez la région sur l’emplacement du compartiment. Vous avez noté cette valeur lorsque vous avez terminé la procédure « Recherche du compartiment S3 qui contient les données que vous souhaitez collecter ».
Sélectionnez Créer une nouvelle file d’attente, puis tapez une valeur pour le nom de la file d’attente.
-
Cliquez sur File d’attente standard, sélectionnez Configurer la file d’attente, puis modifiez les valeurs par défaut des attributs de file d’attente suivants.
-
Délai d’expiration de la visibilité par défaut : 60 secondes (vous pouvez utiliser une valeur inférieure. Dans le cas de la collecte à équilibrage de charge, des événements dupliqués peuvent se produire avec des valeurs inférieures à 30 secondes. Cette valeur ne peut pas être égale à 0.)
-
Période de conservation des messages : 14 jours (vous pouvez utiliser une valeur inférieure. Dans le cas d’une collecte étendue, les données peuvent être perdues.)
Utilisez la valeur par défaut pour les attributs de file d’attente restants.
D’autres options, telles que Redrive Policy ou SSE, peuvent être utilisées en fonction des exigences de votre environnement AWS. Ces valeurs ne devraient pas affecter la collecte de données.
-
Sélectionnez Créer une file d’attente.
Configuration des autorisations de file d’attente SQS
Vous devez configurer des autorisations de file d’attente SQS pour que les utilisateurs puissent accéder à la file d’attente.
Vous devez terminer Création de la file d’attente SQS utilisée pour recevoir les notifications ObjectCreated.
Vous pouvez définir les autorisations de file d’attente SQS à l’aide de l’éditeur d’autorisations ou d’un document de stratégie JSON.
-
Connectez-vous à AWS Management Console en tant qu’administrateur.
-
Accédez à la console de gestion SQS, puis sélectionnez la file d’attente que vous avez créée dans la liste.
-
Dans la fenêtre Propriétés , sélectionnez Détails, puis notez la valeur du champ ARN . Vous avez besoin de cette valeur lorsque vous terminez la procédure « Création d’une notification ObjectCreated ».
-
Facultatif : définissez les autorisations de file d’attente SQS à l’aide de l’éditeur d’autorisations.
-
Dans la fenêtre Propriétés , sélectionnez Autorisations > Ajouter une autorisation, puis configurez les paramètres suivants :
Tableau 1 : paramètres d’autorisation Paramètre
Valeur
Effet
Cliquez sur Autoriser.
Principal
Cliquez sur Tout le monde (*).
Actions
Dans la liste, sélectionnez SendMessage
-
Cliquez sur Ajouter des conditions (facultatif), puis configurez les paramètres suivants :
Tableau 2 : paramètres Ajouter des conditions (facultatif) Paramètre
Valeur
Qualificatif
Aucun
Condition
ARNLike
Clé
Type
aws:SourceArn.Valeur
ARN du compartiment S3 à partir du moment où vous avez terminé la procédure Recherche ou création du compartiment S3 contenant les données que vous souhaitez collecter .
Exemple:
aws:s3:::my-example-s3bucket -
Cliquez sur Ajouter une condition > Ajouter une autorisation.
-
-
Facultatif : définissez les autorisations de file d’attente SQS à l’aide d’un document de stratégie JSON.
-
Dans la fenêtre Propriétés, sélectionnez Modifier le document de police (avancé).
-
Copiez et collez la stratégie JSON suivante dans la fenêtre Modifier le document de stratégie :
Le copier-coller peut ne pas conserver l’espace blanc dans la stratégie JSON. L’espace blanc est obligatoire. Si l’espace blanc n’est pas conservé lorsque vous collez la stratégie JSON, collez-le dans un éditeur de texte et restaurez l’espace. Ensuite, copiez et collez la stratégie JSON à partir de votre éditeur de texte dans la fenêtre Modifier le document de stratégie .
{ "Version": "2008-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "SQS:SendMessage", "Resource": "arn:aws:sqs:us-east-1:123456789012:MySQSQueueName", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:::my-example-s3bucket" } } } ] }
-
-
Cliquez sur Vérifier la stratégie. Assurez-vous que les données sont correctes, puis cliquez sur Enregistrer les modifications.
Création de notifications ObjectCreated
Configurez les notifications ObjectCreated pour les dossiers que vous souhaitez surveiller dans le compartiment S3.
Connectez-vous à AWS Management Console en tant qu’administrateur.
-
Cliquez sur Services, accédez à S3, puis sélectionnez un compartiment.
-
Cliquez sur l’onglet Propriétés , puis dans le volet Événements , cliquez sur Ajouter une notification. Configurez les paramètres du nouvel événement.
Le tableau suivant présente un exemple de configuration de paramètre de notification ObjectCreated :
Tableau 3 : Exemple : Configuration du paramètre de notification New ObjectCreated Paramètre
Valeur
Nom
Saisissez le nom de votre choix.
Épreuves
Sélectionnez Tous les événements de création d’objet.
Préfixe
AWSLogs/
Pourboire:Vous pouvez choisir un préfixe qui contient les données que vous souhaitez rechercher, en fonction de l’emplacement des données et des données que vous souhaitez placer dans la file d’attente. Par exemple; AWSLogs/, CustomPrefix/AWSLogs/, AWSLogs/ 123456789012/.
Suffixe
json.gz
Envoyer à
File d’attente SQS
Pourboire:Vous pouvez envoyer les données de différents dossiers vers la même file d’attente ou vers des files d’attente différentes en fonction des besoins de votre collection ou de votre locataire JSA . Choisissez une ou plusieurs des méthodes suivantes :
-
Différents dossiers qui vont dans différentes files d’attente
-
Différents dossiers de différents compartiments qui vont dans la même file d’attente
-
Tout, d’un simple compartiment à une seule file d’attente
-
Tout, des compartiments multiples qui vont dans une seule file d’attente
SQS (en anglais seulement)
SecureQueue_TEST
Dans l’exemple de la figure 1 d’une configuration de paramètre, des notifications sont créées pour AWSLogs/ à partir de la racine du compartiment. Lorsque vous utilisez cette configuration, tous les événements ObjectCreated déclenchent une notification. S’il y a plusieurs comptes et régions dans le compartiment, tout est traité. Dans cet exemple, json.gz est utilisé. Ce type de fichier peut changer en fonction des données que vous collectez. En fonction du contenu de votre compartiment, vous pouvez omettre l’extension ou choisir une extension qui correspond aux données que vous recherchez dans les dossiers dans lesquels vous avez configuré les événements.
Au bout d’environ 5 minutes, la file d’attente contenant les données s’affiche. Dans la colonne Messages disponibles , vous pouvez afficher le nombre de messages
-
-
Cliquez sur Services, puis accédez à Services de file d’attente simple.
Dans la liste SecureQueue TEST , sélectionnez Afficher/Supprimer les messages pour afficher les messages.
Exemple de message :
{ "Records":[ { "eventVersion":"2.1", "eventSource":"aws:s3", "awsRegion":"us-east-2", "eventTime":"2018-12-19T01:51:03.251Z", "eventName":"ObjectCreated:Put", "userIdentity":{ "principalId":"AWS:AIDAIZLCFC5TZD36YHNZY" }, "requestParameters":{ "sourceIPAddress":"52.46.82.38" }, "responseElements":{ "x-amz-request-id":"6C05F1340AA50D21", "x-amz-id-2":"9e8KovdAUJwmYu1qnEv+urrO8T0vQ+UOpkPnFYLE6agmJSn745 /T3/tVs0Low/vXonTdATvW23M=" }, "s3":{ "s3SchemaVersion":"1.0", "configurationId":"test_SQS_Notification_1", "bucket":{ "name":"myBucketName", "ownerIdentity":{ "principalId":"A2SGQBYRFBZET" }, "arn":"arn:aws:s3:::myBucketName" }, "object":{ "key":"AWSLogs/123456789012/CloudTTrail/eu-west3/2018/12/19/123456789012_CloudTrail_eu-west-3_TestAccountTrail _us-east-2_20181219T014838Z.json.gz", "size":713, "eTag":"1ff1209e4140b4ff7a9d2b922f57f486", "sequencer":"005C19A40717D99642" } } } ] }-
Définissez une autorisation d’utilisateur ou de rôle pour accéder à la file d’attente SQS et pour obtenir l’autorisation de télécharger à partir du compartiment cible. L’utilisateur ou le rôle d’utilisateur doit avoir l’autorisation de lire et de supprimer de la file d’attente SQS. Une fois que JSA a lu la notification, puis téléchargé et traité le fichier cible, le message doit être supprimé de la file d’attente.
Exemple de politique :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "sqs:DeleteMessage", "sqs:ReceiveMessage", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::myBucketName/AWSLogs/*", "arn:aws:sqs:us-east-2:429269239926:SecureQueue_TEST" ] } ] }Vous pouvez ajouter plusieurs compartiments à la file d’attente S3. Pour vous assurer que tous les objets sont accessibles, vous devez avoir un /* de fin à la fin du chemin d’accès au dossier que vous avez ajouté.
Vous pouvez ajouter cette stratégie directement à un utilisateur, à un rôle d’utilisateur, ou vous pouvez créer un utilisateur à accès minimal avec les autorisations sts :AssumeRole uniquement. Lorsque vous configurez une source de journal dans JSA, configurez le paramètre Assume Role ARN (Assumer l’ARN du rôle) pour que JSA assume le rôle. Pour vous assurer que tous les fichiers en attente d’être traités en une seule exécution (vidage de la file d’attente) peuvent se terminer sans nouvelle tentative, utilisez la valeur par défaut de 1 heure pour le paramètre Durée de session de l’API.
Lorsque vous utilisez des rôles assumés, assurez-vous que l’ARN de l’utilisateur qui assume la règle se trouve dans les entités approuvées pour ce rôle. Dans le volet Entités approuvées, vous pouvez afficher les entités approuvées qui peuvent assumer le rôle. En outre, l’utilisateur doit avoir l’autorisation d’assumer des rôles dans ce compte (ou tout autre). Seul mon utilisateur de test, no.permissions.user, peut avoir cette autorisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*" }
Dépannage des intégrations de sources de journaux de l’API REST Amazon AWS S3
Vous avez configuré une source de journal dans JSA pour collecter les journaux Amazon AWS, mais l’état de la source de journal est Avertir et les événements ne sont pas générés comme prévu.
Symptôme:
Erreur affichée dans /var/log/qradar.error :
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2 9154] com.q1labs.semsources.sources.amazonawsrest.utils.web.SimpleRESTFileLister: [ERROR] [NOT:0000003000] [x.x.x.x/- -] [-/- -]IOException encountered when trying to list files from remote Amazon S3 bucket. [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2 9154] javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: Server certificate not recognized [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2 9154] at com.ibm.jsse2.j.a(j.java:15) [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2 9154] at com.ibm.jsse2.qc.a(qc.java:728)
Cause:
Cette erreur a probablement été causée par l’exportation du certificat SSL Amazon à partir d’une URL incorrecte ou par le fait que vous n’avez pas utilisé l’option Acquérir automatiquement le(s) certificat(s) du serveur lorsque vous avez configuré la source du journal.
Environnement:
Toutes les versions de JSA.
Diagnostic du problème :
Vérifiez que le certificat figurant sur la liste blanche n’intersecte pas le certificat de serveur fourni par la connexion. Le certificat de serveur envoyé par Amazon couvre le domaine *.s3.amazonaws.com. Vous devez exporter le certificat pour l’URL suivante :
https://<bucketname>.s3.amazonaws.com
La trace de la pile dans JSA indique le problème avec le protocole de l’API REST Amazon AWS S3. Dans l’exemple suivant, JSA rejette un certificat non reconnu. La cause la plus fréquente est que le certificat n’est pas au format correct ou n’est pas placé dans le bon répertoire sur la bonne appliance JSA.
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Rejecting SSL/TLS connection because server presented unrecognized certificate. The chain sent by the server is [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = CN=*.s3.amazonaws.com, O=Amazon.com Inc., L=Seattle, ST=Washington, C=US [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = CN=q1.us.ibm.com, OU=IBM, O=IBM, L=John, ST=Doe, C=IN, EMAILADDRESS=jdoe@us.ibm.com [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -]The current certificate white list is: [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = EMAILADDRESS=q1sales@us.ibm.com, O=IBM Corp, L=Waltham, ST=Massachusetts, C=US [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = O=SyslogTLS_Server, CN=* [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = CN=s3-console-us-standard.console.aws.amazon.com, O="Amazon.com, Inc.", L=Seattle, ST=Washington, C=US [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -] To establish trust in this server certificate, place a copy in /opt/qradar/conf/trusted_certificates
Résolution du problème :
Si vous avez téléchargé le certificat automatiquement lors de la création de la source du journal, procédez comme suit :
Vous avez configuré l’URL de point de terminaison Amazon S3 correcte et le nom de compartiment correct.
Vous avez sélectionné l’option Oui pour Acquérir automatiquement le(s) certificat(s) du serveur.
Vous avez enregistré la source du journal.
La source du journal télécharge automatiquement le fichier . Fichier de certificat DER dans le répertoire trusted_certificates /opt/qradar/conf/. Pour vérifier que le bon certificat est téléchargé et fonctionne, procédez comme suit :
Dans le menu Navigation , cliquez sur Activer/Désactiver pour désactiver la source du journal.
Activez la source de journal Amazon AWS CloudTrail.
Si vous avez téléchargé manuellement le certificat , vous devez déplacer le fichier . Fichier de certificat DER vers l’appliance JSA appropriée. L’appliance JSA correcte est attribuée dans le champ Target Event Collector (Collecteur d’événements cibles) de la source de journal Amazon AWS CouldTrail.
Le certificat doit comporter un fichier . Extension DER . L’extension . L’extension DER est sensible à la casse et doit être en majuscules. Si le certificat est exporté en minuscules, la source du journal peut rencontrer des problèmes de collecte d’événements.
Accédez à votre compartiment AWS CloudTrail S3 à l’adresse
https://<bucketname>.s3.amazonaws.comUtilisez Firefox pour exporter le certificat SSL d’AWS en tant que fichier de certificat DER.
Copiez le fichier de certificat DER dans le répertoire /opt/qradar/conf/trusted_certificates de l’appliance JSA qui gère la source de journal Amazon AWS CloudTrail.
Note:L’appliance JSA qui gère la source du journal est identifiée par le champ Collecte d’événements cibles dans la source de journal Amazon AWS CloudTrail. L’appliance JSA dispose d’une copie du fichier de certificat DER dans le dossier /opt/qradar/conf/trusted_certificates .
Connectez-vous à JSA en tant qu’administrateur.
Cliquez sur l’onglet Admin .
Cliquez sur l’icône Sources du journal .
Sélectionnez la source du journal Amazon AWS CloudTrail .
Dans le menu de navigation, cliquez sur Activer/Désactiver pour désactiver, puis réactivez la source de journal Amazon AWS CloudTrail.
Note:Le fait de forcer la source de journal désactivée à activée connecte le protocole au compartiment Amazon AWS, tel que défini dans la source de journal. Une vérification du certificat a lieu dans le cadre de la première communication.
Si vous continuez à rencontrer des problèmes, vérifiez que le nom du compartiment Amazon AWS dans le champ Log Source Identifier est correct. Assurez-vous que le chemin d’accès au répertoire distant est correct dans la configuration de la source du journal.