Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di AWS Network Firewall

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di AWS Network Firewall in Google Security Operations. AWS Network Firewall è un servizio gestito che protegge il VPC dal traffico dannoso. Se invii i log di Network Firewall a Google SecOps, puoi migliorare il monitoraggio, l'analisi e il rilevamento delle minacce.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Accesso privilegiato ad AWS

Come configurare la registrazione per AWS Network Firewall

Accedi alla console di gestione AWS.
Apri la console Amazon VPC.
Nel riquadro di navigazione, seleziona Firewall.
Seleziona il nome del firewall da modificare.
Seleziona la scheda Dettagli firewall.
Nella sezione Logging, fai clic su Modifica.
Seleziona i tipi di log: Flow, Alert e TLS.
Per ogni tipo di log selezionato, scegli S3 come tipo di destinazione.

Nota: per modificare la destinazione di un tipo di log esistente, devi prima disattivare la registrazione per le norme.
Poi, modifica il criterio e specifica le nuove destinazioni per il tipo di log.
Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed > Aggiungi nuovo
Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS Network Firewall

Fai clic sul pacchetto Amazon Cloud Platform.
Individua il tipo di log AWS Network Firewall.
Specifica i valori nei seguenti campi.
- Tipo di origine: Amazon SQS V2
- Nome coda: il nome della coda SQS da cui leggere
- URI S3: l'URI del bucket.
  - s3://your-log-bucket-name/
    - Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
  
  Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate al service account.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
- Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Mappato direttamente dal campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Mappato direttamente dal campo `event.app_proto`, convertito in maiuscolo se non è uno dei valori specificati (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 viene sostituito da HTTP.
`event.dest_ip`	`target.ip`	Mappato direttamente dal campo `event.dest_ip`.
`event.dest_port`	`target.port`	Mappato direttamente dal campo `event.dest_port`, convertito in numero intero.
`event.event_type`	`additional.fields[event_type_label].key`	La chiave è codificata come "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Mappato direttamente dal campo `event.event_type`.
`event.flow_id`	`network.session_id`	Mappato direttamente dal campo `event.flow_id`, convertito in stringa.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La chiave è codificata come "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Mappato direttamente dal campo `event.netflow.age`, convertito in stringa.
`event.netflow.bytes`	`network.sent_bytes`	Mappato direttamente dal campo `event.netflow.bytes`, convertito in numero intero senza segno.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La chiave è codificata come "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Mappato direttamente dal campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La chiave è codificata come "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Mappato direttamente dal campo `event.netflow.max_ttl`, convertito in stringa.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La chiave è codificata come "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Mappato direttamente dal campo `event.netflow.min_ttl`, convertito in stringa.
`event.netflow.pkts`	`network.sent_packets`	Mappato direttamente dal campo `event.netflow.pkts`, convertito in numero intero.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La chiave è codificata come "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Mappato direttamente dal campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Mappato direttamente dal campo `event.proto`. Se il valore è "IPv6-ICMP", viene sostituito con "ICMP".
`event.src_ip`	`principal.ip`	Mappato direttamente dal campo `event.src_ip`.
`event.src_port`	`principal.port`	Mappato direttamente dal campo `event.src_port`, convertito in numero intero.
`event.tcp.syn`	`additional.fields[syn_label].key`	La chiave è codificata come "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Mappato direttamente dal campo `event.tcp.syn`, convertito in stringa.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La chiave è codificata come "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Mappato direttamente dal campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Mappato direttamente dal campo `event_timestamp`, analizzato come timestamp.
`event_timestamp`	`timestamp.seconds`	Mappato direttamente dal campo `event_timestamp`, analizzato come timestamp.
`firewall_name`	`metadata.product_event_type`	Mappato direttamente dal campo `firewall_name`. Impostato su "NETWORK_CONNECTION" se sono presenti sia `event.src_ip` sia `event.dest_ip`, altrimenti impostato su "GENERIC_EVENT". Codificato in modo permanente su "AWS Network Firewall". Codificato come "AWS".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.