Recopila registros de AWS Network Firewall

Compatible con:

En este documento, se explica cómo transferir registros del firewall de red de AWS a Google Security Operations. AWS Network Firewall es un servicio administrado que brinda protección a tu VPC contra el tráfico malicioso. Si envías los registros del Firewall de red a Google SecOps, puedes mejorar la supervisión, el análisis y la detección de amenazas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Cómo configurar el registro para el firewall de red de AWS

  1. Accede a la consola de administración de AWS.
  2. Abre la consola de Amazon VPC.
  3. En el panel de navegación, selecciona Firewalls.
  4. Selecciona el nombre del firewall que deseas editar.
  5. Selecciona la pestaña Detalles del firewall.
  6. En la sección Registro, haz clic en Editar.
  7. Selecciona los tipos de registros: Flujo, Alerta y TLS.
  8. Para cada tipo de registro seleccionado, elige S3 como el tipo de destino.

  9. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración del SIEM > Feeds > Agregar nuevo
  • Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de AWS Network Firewall

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busca el tipo de registro AWS Network Firewall.
  3. Especifica los valores en los siguientes campos.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
  4. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
availability_zone target.resource.attribute.cloud.availability_zone Se asigna directamente desde el campo availability_zone.
event.app_proto network.application_protocol Se asigna directamente desde el campo event.app_proto y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 se reemplaza por HTTP.
event.dest_ip target.ip Se asigna directamente desde el campo event.dest_ip.
event.dest_port target.port Se asigna directamente desde el campo event.dest_port y se convierte en un número entero.
event.event_type additional.fields[event_type_label].key La clave está codificada como "event_type".
event.event_type additional.fields[event_type_label].value.string_value Se asigna directamente desde el campo event.event_type.
event.flow_id network.session_id Se asigna directamente desde el campo event.flow_id y se convierte en una cadena.
event.netflow.age additional.fields[netflow_age_label].key La clave está codificada como "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Se asigna directamente desde el campo event.netflow.age y se convierte en una cadena.
event.netflow.bytes network.sent_bytes Se asigna directamente desde el campo event.netflow.bytes y se convierte en un número entero sin signo.
event.netflow.end additional.fields[netflow_end_label].key La clave está codificada como "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Se asigna directamente desde el campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key La clave está codificada como "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Se asigna directamente desde el campo event.netflow.max_ttl y se convierte en una cadena.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key La clave está codificada como "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Se asigna directamente desde el campo event.netflow.min_ttl y se convierte en una cadena.
event.netflow.pkts network.sent_packets Se asigna directamente desde el campo event.netflow.pkts y se convierte en un número entero.
event.netflow.start additional.fields[netflow_start_label].key La clave está codificada como "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Se asigna directamente desde el campo event.netflow.start.
event.proto network.ip_protocol Se asigna directamente desde el campo event.proto. Si el valor es "IPv6-ICMP", se reemplaza por "ICMP".
event.src_ip principal.ip Se asigna directamente desde el campo event.src_ip.
event.src_port principal.port Se asigna directamente desde el campo event.src_port y se convierte en un número entero.
event.tcp.syn additional.fields[syn_label].key La clave está codificada como "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Se asigna directamente desde el campo event.tcp.syn y se convierte en una cadena.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key La clave está codificada como "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Se asigna directamente desde el campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo.
event_timestamp timestamp.seconds Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo.
firewall_name metadata.product_event_type Se asigna directamente desde el campo firewall_name. Se establece en "NETWORK_CONNECTION" si están presentes event.src_ip y event.dest_ip; de lo contrario, se establece en "GENERIC_EVENT". Se codifica de forma rígida como "AWS Network Firewall". Se codifica de forma rígida como "AWS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.