Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de AWS Network Firewall

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros del firewall de red de AWS a Google Security Operations. AWS Network Firewall es un servicio administrado que brinda protección a tu VPC contra el tráfico malicioso. Si envías los registros del Firewall de red a Google SecOps, puedes mejorar la supervisión, el análisis y la detección de amenazas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Acceso privilegiado a AWS

Cómo configurar el registro para el firewall de red de AWS

Accede a la consola de administración de AWS.
Abre la consola de Amazon VPC.
En el panel de navegación, selecciona Firewalls.
Selecciona el nombre del firewall que deseas editar.
Selecciona la pestaña Detalles del firewall.
En la sección Registro, haz clic en Editar.
Selecciona los tipos de registros: Flujo, Alerta y TLS.
Para cada tipo de registro seleccionado, elige S3 como el tipo de destino.

Nota: Para cambiar el destino de un tipo de registro existente, primero debes inhabilitar el registro de la política.
Luego, edita la política y especifica los nuevos destinos para el tipo de registro.
Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración del SIEM > Feeds > Agregar nuevo
Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de AWS Network Firewall

Haz clic en el paquete Amazon Cloud Platform.
Busca el tipo de registro AWS Network Firewall.
Especifica los valores en los siguientes campos.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
- URI de S3: Es el URI del bucket.
  - s3://your-log-bucket-name/
    - Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
- Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
- Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Se asigna directamente desde el campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Se asigna directamente desde el campo `event.app_proto` y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 se reemplaza por HTTP.
`event.dest_ip`	`target.ip`	Se asigna directamente desde el campo `event.dest_ip`.
`event.dest_port`	`target.port`	Se asigna directamente desde el campo `event.dest_port` y se convierte en un número entero.
`event.event_type`	`additional.fields[event_type_label].key`	La clave está codificada como "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Se asigna directamente desde el campo `event.event_type`.
`event.flow_id`	`network.session_id`	Se asigna directamente desde el campo `event.flow_id` y se convierte en una cadena.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La clave está codificada como "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.age` y se convierte en una cadena.
`event.netflow.bytes`	`network.sent_bytes`	Se asigna directamente desde el campo `event.netflow.bytes` y se convierte en un número entero sin signo.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La clave está codificada como "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La clave está codificada como "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.max_ttl` y se convierte en una cadena.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La clave está codificada como "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.min_ttl` y se convierte en una cadena.
`event.netflow.pkts`	`network.sent_packets`	Se asigna directamente desde el campo `event.netflow.pkts` y se convierte en un número entero.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La clave está codificada como "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Se asigna directamente desde el campo `event.proto`. Si el valor es "IPv6-ICMP", se reemplaza por "ICMP".
`event.src_ip`	`principal.ip`	Se asigna directamente desde el campo `event.src_ip`.
`event.src_port`	`principal.port`	Se asigna directamente desde el campo `event.src_port` y se convierte en un número entero.
`event.tcp.syn`	`additional.fields[syn_label].key`	La clave está codificada como "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.syn` y se convierte en una cadena.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La clave está codificada como "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`event_timestamp`	`timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`firewall_name`	`metadata.product_event_type`	Se asigna directamente desde el campo `firewall_name`. Se establece en "NETWORK_CONNECTION" si están presentes `event.src_ip` y `event.dest_ip`; de lo contrario, se establece en "GENERIC_EVENT". Se codifica de forma rígida como "AWS Network Firewall". Se codifica de forma rígida como "AWS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.