收集 AWS Network Firewall 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 AWS Network Firewall 記錄擷取至 Google Security Operations。AWS Network Firewall 是一項代管服務,可保護虛擬私有雲免受惡意流量侵擾。將網路防火牆記錄傳送至 Google SecOps,有助於提升監控、分析和威脅偵測能力。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
如何設定 AWS Network Firewall 的記錄功能
- 登入 AWS 管理主控台。
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選取「Firewalls」(防火牆)。
- 選取要編輯的防火牆名稱。
- 選取「防火牆詳細資料」分頁標籤。
- 在「記錄」部分中,按一下「編輯」。
- 選取記錄類型:「Flow」、「Alert」和「TLS」。
為每個選取的記錄類型選擇「S3」S3做為目的地類型。
按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM Settings」>「Feeds」>「Add New Feed」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 AWS Network Firewall 動態饋給
- 按一下「Amazon Cloud Platform」套件。
- 找出 AWS Network Firewall 記錄類型。
在下列欄位中指定值。
- 來源類型:Amazon SQS V2
- 佇列名稱:要從中讀取的 SQS 佇列名稱
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
來源刪除選項:根據擷取偏好設定選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。
SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
availability_zone |
target.resource.attribute.cloud.availability_zone |
直接對應 availability_zone 欄位。 |
event.app_proto |
network.application_protocol |
直接從 event.app_proto 欄位對應,如果不是指定值 (ikev2、tftp、failed、snmp、tls、ftp),則會轉換為大寫。HTTP2 會替換為 HTTP。 |
event.dest_ip |
target.ip |
直接對應 event.dest_ip 欄位。 |
event.dest_port |
target.port |
直接從 event.dest_port 欄位對應,並轉換為整數。 |
event.event_type |
additional.fields[event_type_label].key |
索引鍵會以硬式編碼寫成「event_type」。 |
event.event_type |
additional.fields[event_type_label].value.string_value |
直接對應 event.event_type 欄位。 |
event.flow_id |
network.session_id |
直接從 event.flow_id 欄位對應,並轉換為字串。 |
event.netflow.age |
additional.fields[netflow_age_label].key |
索引鍵會以硬式編碼寫成「netflow_age」。 |
event.netflow.age |
additional.fields[netflow_age_label].value.string_value |
直接從 event.netflow.age 欄位對應,並轉換為字串。 |
event.netflow.bytes |
network.sent_bytes |
直接從 event.netflow.bytes 欄位對應,並轉換為不帶正負號的整數。 |
event.netflow.end |
additional.fields[netflow_end_label].key |
金鑰會以硬式編碼寫成「netflow_end」。 |
event.netflow.end |
additional.fields[netflow_end_label].value.string_value |
直接對應 event.netflow.end 欄位。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].key |
金鑰會以硬式編碼寫成「netflow_max_ttl」。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].value.string_value |
直接從 event.netflow.max_ttl 欄位對應,並轉換為字串。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].key |
金鑰會以硬式編碼寫成「netflow_min_ttl」。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].value.string_value |
直接從 event.netflow.min_ttl 欄位對應,並轉換為字串。 |
event.netflow.pkts |
network.sent_packets |
直接從 event.netflow.pkts 欄位對應,並轉換為整數。 |
event.netflow.start |
additional.fields[netflow_start_label].key |
金鑰會以硬式編碼寫成「netflow_start」。 |
event.netflow.start |
additional.fields[netflow_start_label].value.string_value |
直接對應 event.netflow.start 欄位。 |
event.proto |
network.ip_protocol |
直接對應至「event.proto」欄位。如果值為「IPv6-ICMP」,則會替換為「ICMP」。 |
event.src_ip |
principal.ip |
直接對應 event.src_ip 欄位。 |
event.src_port |
principal.port |
直接從 event.src_port 欄位對應,並轉換為整數。 |
event.tcp.syn |
additional.fields[syn_label].key |
索引鍵是以硬式編碼方式指定為「syn」。 |
event.tcp.syn |
additional.fields[syn_label].value.string_value |
直接從 event.tcp.syn 欄位對應,並轉換為字串。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].key |
索引鍵會以硬式編碼方式指定為「tcp_flags」。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].value.string_value |
直接對應 event.tcp.tcp_flags 欄位。 |
event_timestamp |
metadata.event_timestamp.seconds |
直接從 event_timestamp 欄位對應,並剖析為時間戳記。 |
event_timestamp |
timestamp.seconds |
直接從 event_timestamp 欄位對應,並剖析為時間戳記。 |
firewall_name |
metadata.product_event_type |
直接對應至「firewall_name」欄位。如果同時存在 event.src_ip 和 event.dest_ip,請設為「NETWORK_CONNECTION」,否則請設為「GENERIC_EVENT」。硬式編碼為「AWS Network Firewall」。硬式編碼為「AWS」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。