Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del Firewall de red de AWS

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros del firewall de red de AWS a Google Security Operations. AWS Network Firewall es un servicio administrado que protege tu VPC contra el tráfico malicioso. Si envías registros del firewall de red a Google SecOps, puedes mejorar la supervisión, el análisis y la detección de amenazas.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de tener acceso con privilegios a AWS.

Configura el registro para el firewall de red de AWS

Accede a la consola de administración de AWS.
Abre la consola de Amazon VPC.
En el panel de navegación, selecciona Firewalls.
Selecciona el nombre del firewall que deseas editar.
Selecciona la pestaña Detalles del firewall.
En la sección Registro, haz clic en Editar.
Selecciona los tipos de registro: Flow, Alert y TLS.
Para cada tipo de registro seleccionado, elige S3 como tipo de destino.

Nota: Para cambiar el destino de un tipo de registro existente, primero debes inhabilitar el registro de la política.
Luego, edita la política y especifica los destinos nuevos para el tipo de registro.
Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros del firewall de red de AWS

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de firewall de red de AWS).
Selecciona Amazon S3 como el Tipo de fuente.
Selecciona Firewall de red de AWS como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket.
  - s3://your-log-bucket-name/
    - Reemplaza your-log-bucket-name por el nombre real del bucket.
- El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Se asigna directamente desde el campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Se asigna directamente desde el campo `event.app_proto` y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 se reemplaza por HTTP.
`event.dest_ip`	`target.ip`	Se asigna directamente desde el campo `event.dest_ip`.
`event.dest_port`	`target.port`	Se asoció directamente desde el campo `event.dest_port` y se convirtió en número entero.
`event.event_type`	`additional.fields[event_type_label].key`	La clave está codificada como "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Se asigna directamente desde el campo `event.event_type`.
`event.flow_id`	`network.session_id`	Se asigna directamente desde el campo `event.flow_id` y se convierte en una cadena.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La clave está codificada como "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.age` y se convierte en una cadena.
`event.netflow.bytes`	`network.sent_bytes`	Se asigna directamente desde el campo `event.netflow.bytes` y se convierte en un número entero sin signo.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La clave está codificada como "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La clave está codificada como "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.max_ttl` y se convierte en una cadena.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La clave está codificada como "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.min_ttl` y se convierte en una cadena.
`event.netflow.pkts`	`network.sent_packets`	Se asoció directamente desde el campo `event.netflow.pkts` y se convirtió en número entero.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La clave está codificada como "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Se asigna directamente desde el campo `event.proto`. Si el valor es "IPv6-ICMP", se reemplaza por "ICMP".
`event.src_ip`	`principal.ip`	Se asigna directamente desde el campo `event.src_ip`.
`event.src_port`	`principal.port`	Se asoció directamente desde el campo `event.src_port` y se convirtió en número entero.
`event.tcp.syn`	`additional.fields[syn_label].key`	La clave está codificada como "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.syn` y se convierte en una cadena.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La clave está codificada como "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`event_timestamp`	`timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`firewall_name`	`metadata.product_event_type`	Se asigna directamente desde el campo `firewall_name`. Establece el valor en "NETWORK_CONNECTION" si `event.src_ip` y `event.dest_ip` están presentes, de lo contrario, configúralo en "GENERIC_EVENT". Está codificado de forma fija en "AWS Network Firewall". Está codificado de forma fija en “AWS”.

Cambios

2023-05-05

Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.