Mengumpulkan log AWS Network Firewall

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS Network Firewall ke Google Security Operations. AWS Network Firewall adalah layanan terkelola yang memberikan perlindungan ke VPC Anda terhadap traffic berbahaya. Dengan mengirim log Network Firewall ke Google SecOps, Anda dapat meningkatkan pemantauan, analisis, dan deteksi ancaman.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi Logging untuk AWS Network Firewall

  1. Login ke AWS Management Console.
  2. Buka konsol Amazon VPC.
  3. Di panel navigasi, pilih Firewall.
  4. Pilih nama firewall yang ingin Anda edit.
  5. Pilih tab Firewall details.
  6. Di bagian Logging, klik Edit.
  7. Pilih jenis log: Flow, Alert, dan TLS.

  8. Untuk setiap jenis log yang dipilih, pilih S3 untuk jenis tujuan.

  9. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Network Firewall

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Network Firewall Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS Network Firewall sebagai Log type.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
availability_zone target.resource.attribute.cloud.availability_zone Dipetakan langsung dari kolom availability_zone.
event.app_proto network.application_protocol Dipetakan langsung dari kolom event.app_proto, dikonversi ke huruf besar jika bukan salah satu nilai yang ditentukan (ikev2, tftp, gagal, snmp, tls, ftp). HTTP2 diganti dengan HTTP.
event.dest_ip target.ip Dipetakan langsung dari kolom event.dest_ip.
event.dest_port target.port Dipetakan langsung dari kolom event.dest_port, dikonversi menjadi bilangan bulat.
event.event_type additional.fields[event_type_label].key Kunci di-hardcode sebagai "event_type".
event.event_type additional.fields[event_type_label].value.string_value Dipetakan langsung dari kolom event.event_type.
event.flow_id network.session_id Dipetakan langsung dari kolom event.flow_id, dikonversi menjadi string.
event.netflow.age additional.fields[netflow_age_label].key Kunci di-hardcode sebagai "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Dipetakan langsung dari kolom event.netflow.age, dikonversi menjadi string.
event.netflow.bytes network.sent_bytes Dipetakan langsung dari kolom event.netflow.bytes, dikonversi menjadi bilangan bulat tanpa tanda tangan.
event.netflow.end additional.fields[netflow_end_label].key Kunci di-hardcode sebagai "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Dipetakan langsung dari kolom event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key Kunci di-hardcode sebagai "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Dipetakan langsung dari kolom event.netflow.max_ttl, dikonversi menjadi string.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key Kunci di-hardcode sebagai "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Dipetakan langsung dari kolom event.netflow.min_ttl, dikonversi menjadi string.
event.netflow.pkts network.sent_packets Dipetakan langsung dari kolom event.netflow.pkts, dikonversi menjadi bilangan bulat.
event.netflow.start additional.fields[netflow_start_label].key Kunci di-hardcode sebagai "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Dipetakan langsung dari kolom event.netflow.start.
event.proto network.ip_protocol Dipetakan langsung dari kolom event.proto. Jika nilainya "IPv6-ICMP", nilai tersebut akan diganti dengan "ICMP".
event.src_ip principal.ip Dipetakan langsung dari kolom event.src_ip.
event.src_port principal.port Dipetakan langsung dari kolom event.src_port, dikonversi menjadi bilangan bulat.
event.tcp.syn additional.fields[syn_label].key Kunci di-hardcode sebagai "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Dipetakan langsung dari kolom event.tcp.syn, dikonversi menjadi string.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key Kunci di-hardcode sebagai "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Dipetakan langsung dari kolom event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Dipetakan langsung dari kolom event_timestamp, diuraikan sebagai stempel waktu.
event_timestamp timestamp.seconds Dipetakan langsung dari kolom event_timestamp, diuraikan sebagai stempel waktu.
firewall_name metadata.product_event_type Dipetakan langsung dari kolom firewall_name. Tetapkan ke "NETWORK_CONNECTION" jika event.src_ip dan event.dest_ip ada, jika tidak, tetapkan ke "GENERIC_EVENT". Di-hardcode ke "AWS Network Firewall". Di-hardcode ke "AWS".

Perubahan

2023-05-05

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.