收集 AWS Network Firewall 記錄

支援的國家/地區:

本文說明如何將 AWS Network Firewall 記錄擷取至 Google Security Operations。AWS Network Firewall 是一項代管服務,可保護 VPC 免受惡意流量侵擾。將網路防火牆記錄傳送至 Google SecOps,有助於提升監控、分析和威脅偵測能力。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

如何設定 AWS Network Firewall 的記錄功能

  1. 登入 AWS 管理主控台
  2. 開啟 Amazon VPC 主控台
  3. 在導覽窗格中,選取「Firewalls」(防火牆)
  4. 選取要編輯的防火牆名稱。
  5. 選取「防火牆詳細資料」分頁標籤。
  6. 在「記錄」部分中,按一下「編輯」
  7. 選取記錄類型:「Flow」、「Alert」和「TLS」

  8. 為每個選取的記錄類型選擇「S3」S3做為目的地類型。

  9. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS Network Firewall 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出 AWS Network Firewall 記錄類型。

  3. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  4. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
availability_zone target.resource.attribute.cloud.availability_zone 直接從「availability_zone」欄位對應。
event.app_proto network.application_protocol 直接從 event.app_proto 欄位對應,如果不是指定值 (ikev2、tftp、failed、snmp、tls、ftp),則會轉換為大寫。HTTP2 會替換為 HTTP。
event.dest_ip target.ip 直接從「event.dest_ip」欄位對應。
event.dest_port target.port 直接從 event.dest_port 欄位對應,並轉換為整數。
event.event_type additional.fields[event_type_label].key 索引鍵會以硬式編碼寫成「event_type」。
event.event_type additional.fields[event_type_label].value.string_value 直接從「event.event_type」欄位對應。
event.flow_id network.session_id 直接從 event.flow_id 欄位對應,並轉換為字串。
event.netflow.age additional.fields[netflow_age_label].key 索引鍵是以硬式編碼寫成「netflow_age」。
event.netflow.age additional.fields[netflow_age_label].value.string_value 直接從 event.netflow.age 欄位對應,並轉換為字串。
event.netflow.bytes network.sent_bytes 直接從 event.netflow.bytes 欄位對應,並轉換為不帶正負號的整數。
event.netflow.end additional.fields[netflow_end_label].key 金鑰會以硬式編碼寫成「netflow_end」。
event.netflow.end additional.fields[netflow_end_label].value.string_value 直接從「event.netflow.end」欄位對應。
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key 金鑰會以硬式編碼寫成「netflow_max_ttl」。
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value 直接從 event.netflow.max_ttl 欄位對應,並轉換為字串。
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key 金鑰會以硬式編碼寫成「netflow_min_ttl」。
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value 直接從 event.netflow.min_ttl 欄位對應,並轉換為字串。
event.netflow.pkts network.sent_packets 直接從 event.netflow.pkts 欄位對應,並轉換為整數。
event.netflow.start additional.fields[netflow_start_label].key 金鑰會以硬式編碼寫成「netflow_start」。
event.netflow.start additional.fields[netflow_start_label].value.string_value 直接從「event.netflow.start」欄位對應。
event.proto network.ip_protocol 直接從「event.proto」欄位對應。如果值為「IPv6-ICMP」,則會替換為「ICMP」。
event.src_ip principal.ip 直接從「event.src_ip」欄位對應。
event.src_port principal.port 直接從 event.src_port 欄位對應,並轉換為整數。
event.tcp.syn additional.fields[syn_label].key 索引鍵是以硬式編碼方式指定為「syn」。
event.tcp.syn additional.fields[syn_label].value.string_value 直接從 event.tcp.syn 欄位對應,並轉換為字串。
event.tcp.tcp_flags additional.fields[tcp_flags_label].key 索引鍵會以硬式編碼方式指定為「tcp_flags」。
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value 直接從「event.tcp.tcp_flags」欄位對應。
event_timestamp metadata.event_timestamp.seconds 直接從 event_timestamp 欄位對應,並剖析為時間戳記。
event_timestamp timestamp.seconds 直接從 event_timestamp 欄位對應,並剖析為時間戳記。
firewall_name metadata.product_event_type 直接從「firewall_name」欄位對應。如果同時存在 event.src_ipevent.dest_ip,請設為「NETWORK_CONNECTION」,否則請設為「GENERIC_EVENT」。硬式編碼為「AWS Network Firewall」。硬式編碼為「AWS」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。