Raccogliere i log di AWS Network Firewall
Questo documento spiega come importare i log di AWS Network Firewall in Google Security Operations. AWS Network Firewall è un servizio gestito che protegge il VPC dal traffico dannoso. Se invii i log di Network Firewall a Google SecOps, puoi migliorare il monitoraggio, l'analisi e il rilevamento delle minacce.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad AWS
Come configurare la registrazione per AWS Network Firewall
- Accedi alla console di gestione AWS.
- Apri la console Amazon VPC.
- Nel riquadro di navigazione, seleziona Firewall.
- Seleziona il nome del firewall da modificare.
- Seleziona la scheda Dettagli firewall.
- Nella sezione Logging, fai clic su Modifica.
- Seleziona i tipi di log: Flow, Alert e TLS.
Per ogni tipo di log selezionato, scegli S3 come tipo di destinazione.
Fai clic su Salva.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed > Aggiungi nuovo
- Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed AWS Network Firewall
- Fai clic sul pacchetto Amazon Cloud Platform.
- Individua il tipo di log AWS Network Firewall.
Specifica i valori nei seguenti campi.
- Tipo di origine: Amazon SQS V2
- Nome coda: il nome della coda SQS da cui leggere
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/
- Sostituisci
your-log-bucket-name
con il nome effettivo del tuo bucket S3.
- Sostituisci
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
availability_zone |
target.resource.attribute.cloud.availability_zone |
Mappato direttamente dal campo availability_zone . |
event.app_proto |
network.application_protocol |
Mappato direttamente dal campo event.app_proto , convertito in maiuscolo se non è uno dei valori specificati (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 viene sostituito da HTTP. |
event.dest_ip |
target.ip |
Mappato direttamente dal campo event.dest_ip . |
event.dest_port |
target.port |
Mappato direttamente dal campo event.dest_port , convertito in numero intero. |
event.event_type |
additional.fields[event_type_label].key |
La chiave è codificata come "event_type". |
event.event_type |
additional.fields[event_type_label].value.string_value |
Mappato direttamente dal campo event.event_type . |
event.flow_id |
network.session_id |
Mappato direttamente dal campo event.flow_id , convertito in stringa. |
event.netflow.age |
additional.fields[netflow_age_label].key |
La chiave è codificata come "netflow_age". |
event.netflow.age |
additional.fields[netflow_age_label].value.string_value |
Mappato direttamente dal campo event.netflow.age , convertito in stringa. |
event.netflow.bytes |
network.sent_bytes |
Mappato direttamente dal campo event.netflow.bytes , convertito in numero intero senza segno. |
event.netflow.end |
additional.fields[netflow_end_label].key |
La chiave è codificata come "netflow_end". |
event.netflow.end |
additional.fields[netflow_end_label].value.string_value |
Mappato direttamente dal campo event.netflow.end . |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].key |
La chiave è codificata come "netflow_max_ttl". |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].value.string_value |
Mappato direttamente dal campo event.netflow.max_ttl , convertito in stringa. |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].key |
La chiave è codificata come "netflow_min_ttl". |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].value.string_value |
Mappato direttamente dal campo event.netflow.min_ttl , convertito in stringa. |
event.netflow.pkts |
network.sent_packets |
Mappato direttamente dal campo event.netflow.pkts , convertito in numero intero. |
event.netflow.start |
additional.fields[netflow_start_label].key |
La chiave è codificata come "netflow_start". |
event.netflow.start |
additional.fields[netflow_start_label].value.string_value |
Mappato direttamente dal campo event.netflow.start . |
event.proto |
network.ip_protocol |
Mappato direttamente dal campo event.proto . Se il valore è "IPv6-ICMP", viene sostituito con "ICMP". |
event.src_ip |
principal.ip |
Mappato direttamente dal campo event.src_ip . |
event.src_port |
principal.port |
Mappato direttamente dal campo event.src_port , convertito in numero intero. |
event.tcp.syn |
additional.fields[syn_label].key |
La chiave è codificata come "syn". |
event.tcp.syn |
additional.fields[syn_label].value.string_value |
Mappato direttamente dal campo event.tcp.syn , convertito in stringa. |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].key |
La chiave è codificata come "tcp_flags". |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].value.string_value |
Mappato direttamente dal campo event.tcp.tcp_flags . |
event_timestamp |
metadata.event_timestamp.seconds |
Mappato direttamente dal campo event_timestamp , analizzato come timestamp. |
event_timestamp |
timestamp.seconds |
Mappato direttamente dal campo event_timestamp , analizzato come timestamp. |
firewall_name |
metadata.product_event_type |
Mappato direttamente dal campo firewall_name . Impostato su "NETWORK_CONNECTION" se sono presenti sia event.src_ip sia event.dest_ip , altrimenti impostato su "GENERIC_EVENT". Codificato in modo permanente su "AWS Network Firewall". Codificato come "AWS". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.