Recopila registros de AWS Network Firewall
En este documento, se explica cómo transferir registros del firewall de red de AWS a Google Security Operations. AWS Network Firewall es un servicio administrado que brinda protección a tu VPC contra el tráfico malicioso. Si envías los registros del Firewall de red a Google SecOps, puedes mejorar la supervisión, el análisis y la detección de amenazas.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso privilegiado a AWS
Cómo configurar el registro para el firewall de red de AWS
- Accede a la consola de administración de AWS.
- Abre la consola de Amazon VPC.
- En el panel de navegación, selecciona Firewalls.
- Selecciona el nombre del firewall que deseas editar.
- Selecciona la pestaña Detalles del firewall.
- En la sección Registro, haz clic en Editar.
- Selecciona los tipos de registros: Flujo, Alerta y TLS.
Para cada tipo de registro seleccionado, elige S3 como el tipo de destino.
Haz clic en Guardar.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración del SIEM > Feeds > Agregar nuevo
- Centro de contenido > Paquetes de contenido > Comenzar
Cómo configurar el feed de AWS Network Firewall
- Haz clic en el paquete Amazon Cloud Platform.
- Busca el tipo de registro AWS Network Firewall.
Especifica los valores en los siguientes campos.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
- URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/
- Reemplaza
your-log-bucket-name
por el nombre real de tu bucket de S3.
- Reemplaza
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
availability_zone |
target.resource.attribute.cloud.availability_zone |
Se asigna directamente desde el campo availability_zone . |
event.app_proto |
network.application_protocol |
Se asigna directamente desde el campo event.app_proto y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 se reemplaza por HTTP. |
event.dest_ip |
target.ip |
Se asigna directamente desde el campo event.dest_ip . |
event.dest_port |
target.port |
Se asigna directamente desde el campo event.dest_port y se convierte en un número entero. |
event.event_type |
additional.fields[event_type_label].key |
La clave está codificada como "event_type". |
event.event_type |
additional.fields[event_type_label].value.string_value |
Se asigna directamente desde el campo event.event_type . |
event.flow_id |
network.session_id |
Se asigna directamente desde el campo event.flow_id y se convierte en una cadena. |
event.netflow.age |
additional.fields[netflow_age_label].key |
La clave está codificada como "netflow_age". |
event.netflow.age |
additional.fields[netflow_age_label].value.string_value |
Se asigna directamente desde el campo event.netflow.age y se convierte en una cadena. |
event.netflow.bytes |
network.sent_bytes |
Se asigna directamente desde el campo event.netflow.bytes y se convierte en un número entero sin signo. |
event.netflow.end |
additional.fields[netflow_end_label].key |
La clave está codificada como "netflow_end". |
event.netflow.end |
additional.fields[netflow_end_label].value.string_value |
Se asigna directamente desde el campo event.netflow.end . |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].key |
La clave está codificada como "netflow_max_ttl". |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].value.string_value |
Se asigna directamente desde el campo event.netflow.max_ttl y se convierte en una cadena. |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].key |
La clave está codificada como "netflow_min_ttl". |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].value.string_value |
Se asigna directamente desde el campo event.netflow.min_ttl y se convierte en una cadena. |
event.netflow.pkts |
network.sent_packets |
Se asigna directamente desde el campo event.netflow.pkts y se convierte en un número entero. |
event.netflow.start |
additional.fields[netflow_start_label].key |
La clave está codificada como "netflow_start". |
event.netflow.start |
additional.fields[netflow_start_label].value.string_value |
Se asigna directamente desde el campo event.netflow.start . |
event.proto |
network.ip_protocol |
Se asigna directamente desde el campo event.proto . Si el valor es "IPv6-ICMP", se reemplaza por "ICMP". |
event.src_ip |
principal.ip |
Se asigna directamente desde el campo event.src_ip . |
event.src_port |
principal.port |
Se asigna directamente desde el campo event.src_port y se convierte en un número entero. |
event.tcp.syn |
additional.fields[syn_label].key |
La clave está codificada como "syn". |
event.tcp.syn |
additional.fields[syn_label].value.string_value |
Se asigna directamente desde el campo event.tcp.syn y se convierte en una cadena. |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].key |
La clave está codificada como "tcp_flags". |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].value.string_value |
Se asigna directamente desde el campo event.tcp.tcp_flags . |
event_timestamp |
metadata.event_timestamp.seconds |
Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo. |
event_timestamp |
timestamp.seconds |
Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo. |
firewall_name |
metadata.product_event_type |
Se asigna directamente desde el campo firewall_name . Se establece en "NETWORK_CONNECTION" si están presentes event.src_ip y event.dest_ip ; de lo contrario, se establece en "GENERIC_EVENT". Se codifica de forma rígida como "AWS Network Firewall". Se codifica de forma rígida como "AWS". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.