Diese Seite wurde von der Cloud Translation API übersetzt.

AWS Network Firewall-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie AWS-Netzwerk-Firewall-Logs in Google Security Operations aufnehmen. Die AWS Network Firewall ist ein verwalteter Dienst, der Ihr VPC vor schädlichem Traffic schützt. Wenn Sie Netzwerk-Firewall-Logs an Google SecOps senden, können Sie Monitoring, Analyse und Bedrohungserkennung verbessern.

Vorbereitung

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen erhöhte Zugriffsrechte für AWS.

Logging für die AWS Network Firewall konfigurieren

Melden Sie sich bei der AWS Management Console an.
Öffnen Sie die Amazon VPC-Konsole.
Wählen Sie im Navigationsbereich Firewalls aus.
Wählen Sie den Namen der Firewall aus, die Sie bearbeiten möchten.
Wählen Sie den Tab Firewall-Details aus.
Klicken Sie im Bereich Protokollierung auf Bearbeiten.
Wählen Sie die Protokolltypen Flow, Alert und TLS aus.
Wählen Sie für jeden ausgewählten Protokolltyp S3 als Zieltyp aus.

Hinweis :Wenn Sie das Ziel für einen vorhandenen Protokolltyp ändern möchten, müssen Sie zuerst das Logging für die Richtlinie deaktivieren.
Bearbeiten Sie dann die Richtlinie und geben Sie die neuen Ziele für den Protokolltyp an.
Klicken Sie auf Speichern.

Feed in Google SecOps für die Aufnahme von AWS Network Firewall-Logs konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS-Netzwerk-Firewall-Protokolle.
Wählen Sie als Quelltyp Amazon S3 aus.
Wählen Sie AWS Network Firewall als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: der Bucket-URI.
  - s3://your-log-bucket-name/
    - Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen des Buckets.
- URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
  
  Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Direkt aus dem Feld `availability_zone` zugeordnet.
`event.app_proto`	`network.application_protocol`	Wird direkt aus dem Feld `event.app_proto` zugeordnet und in Großbuchstaben umgewandelt, wenn es sich nicht um einen der angegebenen Werte handelt (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 wird durch HTTP ersetzt.
`event.dest_ip`	`target.ip`	Direkt aus dem Feld `event.dest_ip` zugeordnet.
`event.dest_port`	`target.port`	Direkt aus dem Feld `event.dest_port` zugeordnet, in Ganzzahl konvertiert.
`event.event_type`	`additional.fields[event_type_label].key`	Der Schlüssel ist als „event_type“ hartcodiert.
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Direkt aus dem Feld `event.event_type` zugeordnet.
`event.flow_id`	`network.session_id`	Wird direkt aus dem Feld `event.flow_id` zugeordnet und in einen String umgewandelt.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	Der Schlüssel ist als „netflow_age“ hartcodiert.
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Wird direkt aus dem Feld `event.netflow.age` zugeordnet und in einen String umgewandelt.
`event.netflow.bytes`	`network.sent_bytes`	Wird direkt aus dem Feld `event.netflow.bytes` zugeordnet und in eine positive Ganzzahl konvertiert.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	Der Schlüssel ist als „netflow_end“ hartcodiert.
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Direkt aus dem Feld `event.netflow.end` zugeordnet.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	Der Schlüssel ist als „netflow_max_ttl“ hartcodiert.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Wird direkt aus dem Feld `event.netflow.max_ttl` zugeordnet und in einen String umgewandelt.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	Der Schlüssel ist als „netflow_min_ttl“ hartcodiert.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Wird direkt aus dem Feld `event.netflow.min_ttl` zugeordnet und in einen String umgewandelt.
`event.netflow.pkts`	`network.sent_packets`	Direkt aus dem Feld `event.netflow.pkts` zugeordnet, in Ganzzahl konvertiert.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	Der Schlüssel ist als „netflow_start“ hartcodiert.
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Direkt aus dem Feld `event.netflow.start` zugeordnet.
`event.proto`	`network.ip_protocol`	Direkt aus dem Feld `event.proto` zugeordnet. Wenn der Wert „IPv6-ICMP“ lautet, wird er durch „ICMP“ ersetzt.
`event.src_ip`	`principal.ip`	Direkt aus dem Feld `event.src_ip` zugeordnet.
`event.src_port`	`principal.port`	Direkt aus dem Feld `event.src_port` zugeordnet, in Ganzzahl konvertiert.
`event.tcp.syn`	`additional.fields[syn_label].key`	Der Schlüssel ist als „syn“ hartcodiert.
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Wird direkt aus dem Feld `event.tcp.syn` zugeordnet und in einen String umgewandelt.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	Der Schlüssel ist als „tcp_flags“ hartcodiert.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Direkt aus dem Feld `event.tcp.tcp_flags` zugeordnet.
`event_timestamp`	`metadata.event_timestamp.seconds`	Wird direkt aus dem Feld `event_timestamp` zugeordnet und als Zeitstempel geparst.
`event_timestamp`	`timestamp.seconds`	Wird direkt aus dem Feld `event_timestamp` zugeordnet und als Zeitstempel geparst.
`firewall_name`	`metadata.product_event_type`	Direkt aus dem Feld `firewall_name` zugeordnet. Legen Sie „NETWORK_CONNECTION“ fest, wenn sowohl `event.src_ip` als auch `event.dest_ip` vorhanden sind. Andernfalls „GENERIC_EVENT“. „AWS Network Firewall“ ist hartcodiert. „AWS“ ist hartcodiert.

Änderungen

2023-05-05

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten