收集 Amazon CloudFront 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 資訊提供,以收集 Amazon CloudFront 記錄。
詳情請參閱「將資料擷取至 Google Security Operations 總覽」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 AWS_CLOUDFRONT 攝入標籤的剖析器。
事前準備
確認已建立 Amazon S3 bucket。詳情請參閱建立第一個 S3 值區。
設定 Amazon CloudFront
- 登入 AWS 管理主控台。
- 存取 Amazon S3 控制台,然後建立 Amazon S3 值區。
- 按一下「開啟」即可啟用記錄功能。
- 在「Bucket for logs」(記錄的 Bucket) 欄位中,指定 Amazon S3 Bucket 名稱。
- 在「記錄前置字串」欄位中,指定選用的前置字串。
- 將記錄檔儲存在 Amazon S3 儲存桶後,請建立 SQS 佇列,並將其附加至 Amazon S3 儲存桶。
找出連線端點
檢查 S3、SQS 和 KMS 的必要 Identity and Access Management 使用者和 KMS 金鑰政策。
根據服務和區域,參閱下列 AWS 說明文件,找出連線端點:
- 如要瞭解任何記錄來源,請參閱「AWS Identity and Access Management 端點和配額」。
- 如要瞭解 S3 記錄來源,請參閱「Amazon Simple Storage Service 端點和配額」。
- 如要瞭解 SQS 記錄來源,請參閱「Amazon Simple Queue Service 端點和配額」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM 設定」>「動態饋給」>「新增」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 AWS CloudFront 動態饋給
- 按一下「Amazon Cloud Platform」套件。
- 找出 AWS CloudFront 記錄類型。
在下列欄位中指定值。
- 來源類型:Amazon SQS V2
- 佇列名稱:要從中讀取的 SQS 佇列名稱
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
來源刪除選項:根據擷取偏好設定選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。
SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
欄位對應參考資料
這個剖析器會從 SYSLOG 或 JSON 格式的 AWS CloudFront 記錄中擷取欄位,並將這些欄位正規化為 UDM。它會使用 grok 模式剖析訊息字串、處理各種資料轉換 (例如類型轉換、重新命名),並透過使用者代理程式剖析和應用程式通訊協定識別等額外內容,擴充資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
c-ip |
principal.ip |
直接對應。也對應到「principal.asset.ip」。 |
c-port |
principal.port |
直接對應。 |
cs(Cookie) |
additional.fields[].key:「cookie」additional.fields[].value.string_value:直接對應。 |
如果 cs(Cookie) 存在,且 agent 不含「://」,則會視情況對應。 |
cs(Host) |
principal.hostname |
直接對應。也對應到「principal.asset.hostname」。如果沒有其他網址欄位,可用於建構 target.url。 |
cs(Referer) |
network.http.referral_url |
直接對應。 |
cs(User-Agent) |
network.http.user_agent |
直接對應。如果未包含「://」,也會對應至 network.http.parsed_user_agent 並剖析為其元件。 |
cs-bytes |
network.sent_bytes |
直接對應。已轉換為無正負號整數。 |
cs-method |
network.http.method |
直接對應。 |
cs-protocol |
network.application_protocol |
轉換為大寫後對應。如果系統無法將值辨識為標準應用程式通訊協定,且 cs-protocol-version 包含「HTTP」,則 network.application_protocol 會設為「HTTP」。 |
dport |
target.port |
直接對應。轉換成整數。 |
edge_location |
principal.location.name |
直接對應。 |
fle-encrypted-fields |
additional.fields[].key:「fle-encrypted-fields」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
fle-status |
additional.fields[].key:「fle-status」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
host |
principal.hostname、principal.asset.hostname |
直接對應。 |
id |
principal.asset_id |
直接對應前置字串「id: 」。 |
ip |
target.ip、target.asset.ip |
直接對應。 |
log_id |
metadata.product_log_id |
直接對應。 |
resource |
additional.fields[].key:「resource」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
result_type |
additional.fields[].key:「result_type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-bytes |
network.received_bytes |
直接對應。已轉換為無正負號整數。 |
sc-content-len |
additional.fields[].key:「sc-content-len」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-content-type |
additional.fields[].key:「sc-content-type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-status |
network.http.response_code |
直接對應。轉換成整數。 |
ssl-cipher |
network.tls.cipher |
直接對應。 |
ssl-protocol |
network.tls.version |
直接對應。 |
timestamp |
metadata.event_timestamp |
如果有的話,系統會剖析並對應。支援不同格式。 |
ts |
metadata.event_timestamp |
如果有的話,系統會剖析並對應。請採用 ISO8601 格式。 |
url |
target.url |
直接對應。 |
url_back_to_product |
metadata.url_back_to_product |
直接對應。 |
x-edge-detailed-result-type |
additional.fields[].key:「x-edge-detailed-result-type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-location |
additional.fields[].key:「x-edge-location」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-request-id |
additional.fields[].key: "x-edge-request-id"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-response-result-type |
additional.fields[].key: "x-edge-response-result-type"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-result-type |
additional.fields[].key: "x-edge-result-type"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-forwarded-for |
target.ip、target.asset.ip |
直接對應。如果有多個 IP (以半形逗號分隔),系統會將其分割並合併至對應的 UDM 欄位。 |
x-host-header |
target.hostname、target.asset.hostname |
直接對應。如果同時存在 ip 或 x-forwarded-for 和 http_verb,請設為「NETWORK_HTTP」。否則請設為「GENERIC_EVENT」。硬式編碼為「AWS_CLOUDFRONT」。硬式編碼為「AWS CloudFront」。硬式編碼為「AMAZON」。記錄項目擷取至 Google Security Operations 的時間。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。