Raccogli i log di AWS Network Firewall

Supportato in:

Questo documento spiega come importare i log di AWS Network Firewall in Google Security Operations. AWS Network Firewall è un servizio gestito che protegge la tua VPC dal traffico dannoso. Inviando i log del firewall di rete a Google SecOps, puoi migliorare il monitoraggio, l'analisi e il rilevamento delle minacce.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS.

Configurare il logging per AWS Network Firewall

  1. Accedi alla AWS Management Console.
  2. Apri la console Amazon VPC.
  3. Nel riquadro di navigazione, seleziona Firewall.
  4. Seleziona il nome del firewall da modificare.
  5. Seleziona la scheda Dettagli firewall.
  6. Nella sezione Logging (Registrazione), fai clic su Modifica.
  7. Seleziona i tipi di log: Flow, Alert e TLS.

  8. Per ogni tipo di log selezionato, scegli S3 come tipo di destinazione.

  9. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di AWS Network Firewall

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log firewall di rete AWS).
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona Firewall di rete AWS come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
availability_zone target.resource.attribute.cloud.availability_zone Mappato direttamente dal campo availability_zone.
event.app_proto network.application_protocol Mappato direttamente dal campo event.app_proto, convertito in maiuscolo se non è uno dei valori specificati (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 viene sostituito con HTTP.
event.dest_ip target.ip Mappato direttamente dal campo event.dest_ip.
event.dest_port target.port Mappato direttamente dal campo event.dest_port, convertito in numero intero.
event.event_type additional.fields[event_type_label].key La chiave è hardcoded come "event_type".
event.event_type additional.fields[event_type_label].value.string_value Mappato direttamente dal campo event.event_type.
event.flow_id network.session_id Mappato direttamente dal campo event.flow_id, convertito in stringa.
event.netflow.age additional.fields[netflow_age_label].key La chiave è hardcoded come "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Mappato direttamente dal campo event.netflow.age, convertito in stringa.
event.netflow.bytes network.sent_bytes Mappato direttamente dal campo event.netflow.bytes, convertito in numero intero non firmato.
event.netflow.end additional.fields[netflow_end_label].key La chiave è hardcoded come "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Mappato direttamente dal campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key La chiave è hardcoded come "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Mappato direttamente dal campo event.netflow.max_ttl, convertito in stringa.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key La chiave è hardcoded come "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Mappato direttamente dal campo event.netflow.min_ttl, convertito in stringa.
event.netflow.pkts network.sent_packets Mappato direttamente dal campo event.netflow.pkts, convertito in numero intero.
event.netflow.start additional.fields[netflow_start_label].key La chiave è hardcoded come "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Mappato direttamente dal campo event.netflow.start.
event.proto network.ip_protocol Mappato direttamente dal campo event.proto. Se il valore è "IPv6-ICMP", viene sostituito con "ICMP".
event.src_ip principal.ip Mappato direttamente dal campo event.src_ip.
event.src_port principal.port Mappato direttamente dal campo event.src_port, convertito in numero intero.
event.tcp.syn additional.fields[syn_label].key La chiave è impostata come hardcoded su "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Mappato direttamente dal campo event.tcp.syn, convertito in stringa.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key La chiave è hardcoded come "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Mappato direttamente dal campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Mappato direttamente dal campo event_timestamp, analizzato come timestamp.
event_timestamp timestamp.seconds Mappato direttamente dal campo event_timestamp, analizzato come timestamp.
firewall_name metadata.product_event_type Mappato direttamente dal campo firewall_name. Imposta su "NETWORK_CONNECTION" se sono presenti sia event.src_ip che event.dest_ip, altrimenti imposta su "GENERIC_EVENT". Hardcoded su "AWS Network Firewall". Hardcoded su "AWS".

Modifiche

2023-05-05

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.