收集 AWS Network Firewall 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何将 AWS 网络防火墙日志注入到 Google Security Operations。AWS Network Firewall 是一项代管式服务,可保护您的 VPC 免受恶意流量的侵害。通过将网络防火墙日志发送到 Google SecOps,您可以改进监控、分析和威胁检测。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 AWS 的特权访问权限
如何为 AWS 网络防火墙配置日志记录
- 登录 AWS Management Console。
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择防火墙。
- 选择要修改的防火墙的名称。
- 选择防火墙详情标签页。
- 在日志记录部分,点击修改。
- 选择日志类型:Flow、Alert 和 TLS。
为每个所选日志类型选择 S3 作为目标类型。
点击保存。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 AWS 网络防火墙 Feed
- 点击 Amazon Cloud Platform 包。
- 找到 AWS Network Firewall 日志类型。
在以下字段中指定值。
- 来源类型:Amazon SQS V2
- 队列名称:要从中读取数据的 SQS 队列名称
- S3 URI:存储桶 URI。
s3://your-log-bucket-name/- 将
your-log-bucket-name替换为您的 S3 存储桶的实际名称。
- 将
源删除选项:根据您的提取偏好设置选择删除选项。
文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。
SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
availability_zone |
target.resource.attribute.cloud.availability_zone |
直接从 availability_zone 字段映射。 |
event.app_proto |
network.application_protocol |
直接从 event.app_proto 字段映射,如果不是指定值(ikev2、tftp、failed、snmp、tls、ftp)之一,则转换为大写。HTTP2 已替换为 HTTP。 |
event.dest_ip |
target.ip |
直接从 event.dest_ip 字段映射。 |
event.dest_port |
target.port |
直接从 event.dest_port 字段映射,转换为整数。 |
event.event_type |
additional.fields[event_type_label].key |
该键已硬编码为“event_type”。 |
event.event_type |
additional.fields[event_type_label].value.string_value |
直接从 event.event_type 字段映射。 |
event.flow_id |
network.session_id |
直接从 event.flow_id 字段映射,并转换为字符串。 |
event.netflow.age |
additional.fields[netflow_age_label].key |
该键已硬编码为“netflow_age”。 |
event.netflow.age |
additional.fields[netflow_age_label].value.string_value |
直接从 event.netflow.age 字段映射,并转换为字符串。 |
event.netflow.bytes |
network.sent_bytes |
直接从 event.netflow.bytes 字段映射,转换为无符号整数。 |
event.netflow.end |
additional.fields[netflow_end_label].key |
该键硬编码为“netflow_end”。 |
event.netflow.end |
additional.fields[netflow_end_label].value.string_value |
直接从 event.netflow.end 字段映射。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].key |
该键硬编码为“netflow_max_ttl”。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].value.string_value |
直接从 event.netflow.max_ttl 字段映射,并转换为字符串。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].key |
该键已硬编码为“netflow_min_ttl”。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].value.string_value |
直接从 event.netflow.min_ttl 字段映射,并转换为字符串。 |
event.netflow.pkts |
network.sent_packets |
直接从 event.netflow.pkts 字段映射,转换为整数。 |
event.netflow.start |
additional.fields[netflow_start_label].key |
该键硬编码为“netflow_start”。 |
event.netflow.start |
additional.fields[netflow_start_label].value.string_value |
直接从 event.netflow.start 字段映射。 |
event.proto |
network.ip_protocol |
直接从 event.proto 字段映射。如果值为“IPv6-ICMP”,则替换为“ICMP”。 |
event.src_ip |
principal.ip |
直接从 event.src_ip 字段映射。 |
event.src_port |
principal.port |
直接从 event.src_port 字段映射,转换为整数。 |
event.tcp.syn |
additional.fields[syn_label].key |
该键已硬编码为“syn”。 |
event.tcp.syn |
additional.fields[syn_label].value.string_value |
直接从 event.tcp.syn 字段映射,并转换为字符串。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].key |
该键已硬编码为“tcp_flags”。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].value.string_value |
直接从 event.tcp.tcp_flags 字段映射。 |
event_timestamp |
metadata.event_timestamp.seconds |
直接从 event_timestamp 字段映射,解析为时间戳。 |
event_timestamp |
timestamp.seconds |
直接从 event_timestamp 字段映射,解析为时间戳。 |
firewall_name |
metadata.product_event_type |
直接从 firewall_name 字段映射。如果 event.src_ip 和 event.dest_ip 都存在,则设置为“NETWORK_CONNECTION”,否则设置为“GENERIC_EVENT”。硬编码为“AWS Network Firewall”。硬编码为“AWS”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。