Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux du pare-feu de réseau AWS

Compatible avec:

Google SecOps SIEM

Ce document explique comment ingérer les journaux du pare-feu réseau AWS dans Google Security Operations. AWS Network Firewall est un service géré qui protège votre VPC contre le trafic malveillant. En envoyant les journaux du pare-feu réseau à Google SecOps, vous pouvez améliorer la surveillance, l'analyse et la détection des menaces.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous de disposer d'un accès privilégié à AWS.

Configurer la journalisation pour le pare-feu de réseau AWS

Connectez-vous à l'AWS Management Console.
Ouvrez la console Amazon VPC.
Dans le volet de navigation, sélectionnez Pare-feu.
Sélectionnez le nom du pare-feu que vous souhaitez modifier.
Sélectionnez l'onglet Détails du pare-feu.
Dans la section Journalisation, cliquez sur Modifier.
Sélectionnez les types de journaux: Flux, Alerte et TLS.
Pour chaque type de journal sélectionné, sélectionnez S3 comme type de destination.

Remarque :Pour modifier la destination d'un type de journal existant, vous devez d'abord désactiver la journalisation pour la stratégie.
Modifiez ensuite la stratégie et spécifiez la ou les nouvelles destinations du type de journal.
Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux du pare-feu de réseau AWS

Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux du pare-feu réseau AWS).
Sélectionnez Amazon S3 comme Type de source.
Sélectionnez Pare-feu de réseau AWS comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants:
- Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
- URI S3: URI du bucket.
  - s3://your-log-bucket-name/
    - Remplacez your-log-bucket-name par le nom réel du bucket.
- Un URI est: sélectionnez Répertoire ou Répertoire incluant des sous-répertoires.
- Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.
  
  Remarque :Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
- Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Mappé directement à partir du champ `availability_zone`.
`event.app_proto`	`network.application_protocol`	Mappé directement à partir du champ `event.app_proto`, converti en majuscules si aucune des valeurs spécifiées (ikev2, tftp, failed, snmp, tls, ftp) n'est utilisée. HTTP2 est remplacé par HTTP.
`event.dest_ip`	`target.ip`	Mappé directement à partir du champ `event.dest_ip`.
`event.dest_port`	`target.port`	Mappé directement à partir du champ `event.dest_port`, converti en entier.
`event.event_type`	`additional.fields[event_type_label].key`	La clé est codée en dur sous la forme "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Mappé directement à partir du champ `event.event_type`.
`event.flow_id`	`network.session_id`	Mappé directement à partir du champ `event.flow_id`, converti en chaîne.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La clé est codée en dur sous la forme "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Mappé directement à partir du champ `event.netflow.age`, converti en chaîne.
`event.netflow.bytes`	`network.sent_bytes`	Mappé directement à partir du champ `event.netflow.bytes`, converti en entier non signé.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La clé est codée en dur sous la forme "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Mappé directement à partir du champ `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La clé est codée en dur sous la forme "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Mappé directement à partir du champ `event.netflow.max_ttl`, converti en chaîne.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La clé est codée en dur sous la forme "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Mappé directement à partir du champ `event.netflow.min_ttl`, converti en chaîne.
`event.netflow.pkts`	`network.sent_packets`	Mappé directement à partir du champ `event.netflow.pkts`, converti en entier.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La clé est codée en dur sous la forme "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Mappé directement à partir du champ `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Mappé directement à partir du champ `event.proto`. Si la valeur est "IPv6-ICMP", elle est remplacée par "ICMP".
`event.src_ip`	`principal.ip`	Mappé directement à partir du champ `event.src_ip`.
`event.src_port`	`principal.port`	Mappé directement à partir du champ `event.src_port`, converti en entier.
`event.tcp.syn`	`additional.fields[syn_label].key`	La clé est codée en dur sous la forme "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Mappé directement à partir du champ `event.tcp.syn`, converti en chaîne.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La clé est codée en dur sous le nom "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Mappé directement à partir du champ `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Mappé directement à partir du champ `event_timestamp`, analysé en tant que code temporel.
`event_timestamp`	`timestamp.seconds`	Mappé directement à partir du champ `event_timestamp`, analysé en tant que code temporel.
`firewall_name`	`metadata.product_event_type`	Mappé directement à partir du champ `firewall_name`. Définissez ce paramètre sur "NETWORK_CONNECTION" si `event.src_ip` et `event.dest_ip` sont tous deux présents, sinon sur "GENERIC_EVENT". Code codé en dur sur "AWS Network Firewall". Coded en dur sur "AWS".

Modifications

2023-05-05

Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.