Raccogliere i log di AWS Network Firewall

Supportato in:

Questo documento spiega come importare i log di AWS Network Firewall in Google Security Operations. AWS Network Firewall è un servizio gestito che protegge il VPC dal traffico dannoso. Se invii i log di Network Firewall a Google SecOps, puoi migliorare il monitoraggio, l'analisi e il rilevamento delle minacce.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Come configurare la registrazione per AWS Network Firewall

  1. Accedi alla console di gestione AWS.
  2. Apri la console Amazon VPC.
  3. Nel riquadro di navigazione, seleziona Firewall.
  4. Seleziona il nome del firewall da modificare.
  5. Seleziona la scheda Dettagli firewall.
  6. Nella sezione Logging, fai clic su Modifica.
  7. Seleziona i tipi di log: Flow, Alert e TLS.
  8. Per ogni tipo di log selezionato, scegli S3 come tipo di destinazione.

  9. Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS Network Firewall

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS Network Firewall.
  3. Specifica i valori nei seguenti campi.

    • Tipo di origine: Amazon SQS V2
    • Nome coda: il nome della coda SQS da cui leggere
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.

    • Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
  4. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
availability_zone target.resource.attribute.cloud.availability_zone Mappato direttamente dal campo availability_zone.
event.app_proto network.application_protocol Mappato direttamente dal campo event.app_proto, convertito in maiuscolo se non è uno dei valori specificati (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 viene sostituito da HTTP.
event.dest_ip target.ip Mappato direttamente dal campo event.dest_ip.
event.dest_port target.port Mappato direttamente dal campo event.dest_port, convertito in numero intero.
event.event_type additional.fields[event_type_label].key La chiave è codificata come "event_type".
event.event_type additional.fields[event_type_label].value.string_value Mappato direttamente dal campo event.event_type.
event.flow_id network.session_id Mappato direttamente dal campo event.flow_id, convertito in stringa.
event.netflow.age additional.fields[netflow_age_label].key La chiave è codificata come "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Mappato direttamente dal campo event.netflow.age, convertito in stringa.
event.netflow.bytes network.sent_bytes Mappato direttamente dal campo event.netflow.bytes, convertito in numero intero senza segno.
event.netflow.end additional.fields[netflow_end_label].key La chiave è codificata come "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Mappato direttamente dal campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key La chiave è codificata come "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Mappato direttamente dal campo event.netflow.max_ttl, convertito in stringa.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key La chiave è codificata come "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Mappato direttamente dal campo event.netflow.min_ttl, convertito in stringa.
event.netflow.pkts network.sent_packets Mappato direttamente dal campo event.netflow.pkts, convertito in numero intero.
event.netflow.start additional.fields[netflow_start_label].key La chiave è codificata come "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Mappato direttamente dal campo event.netflow.start.
event.proto network.ip_protocol Mappato direttamente dal campo event.proto. Se il valore è "IPv6-ICMP", viene sostituito con "ICMP".
event.src_ip principal.ip Mappato direttamente dal campo event.src_ip.
event.src_port principal.port Mappato direttamente dal campo event.src_port, convertito in numero intero.
event.tcp.syn additional.fields[syn_label].key La chiave è codificata come "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Mappato direttamente dal campo event.tcp.syn, convertito in stringa.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key La chiave è codificata come "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Mappato direttamente dal campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Mappato direttamente dal campo event_timestamp, analizzato come timestamp.
event_timestamp timestamp.seconds Mappato direttamente dal campo event_timestamp, analizzato come timestamp.
firewall_name metadata.product_event_type Mappato direttamente dal campo firewall_name. Impostato su "NETWORK_CONNECTION" se sono presenti sia event.src_ip sia event.dest_ip, altrimenti impostato su "GENERIC_EVENT". Codificato in modo permanente su "AWS Network Firewall". Codificato come "AWS".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.