이 페이지는 Cloud Translation API를 통해 번역되었습니다.

AWS Network Firewall 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 AWS Network Firewall 로그를 Google Security Operations에 수집하는 방법을 설명합니다. AWS Network Firewall은 악성 트래픽으로부터 VPC를 보호하는 관리형 서비스입니다. 네트워크 방화벽 로그를 Google SecOps로 전송하면 모니터링, 분석, 위협 감지를 개선할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
AWS에 대한 액세스 권한

AWS 네트워크 방화벽의 로깅을 구성하는 방법

AWS 관리 콘솔에 로그인합니다.
Amazon VPC 콘솔을 엽니다.
탐색 창에서 방화벽을 선택합니다.
수정할 방화벽의 이름을 선택합니다.
방화벽 세부정보 탭을 선택합니다.
로깅 섹션에서 수정을 클릭합니다.
흐름, 알림, TLS 로그 유형을 선택합니다.
선택한 각 로그 유형에 대해 대상 유형으로 S3를 선택합니다.

참고: 기존 로그 유형의 대상을 변경하려면 먼저 정책의 로깅을 사용 중지해야 합니다.
그런 다음 정책을 수정하고 로그 유형의 새 대상(들)을 지정합니다.
저장을 클릭합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

SIEM 설정 > 피드 > 새로 추가
콘텐츠 허브 > 콘텐츠 팩 > 시작하기

AWS Network Firewall 피드를 설정하는 방법

Amazon Cloud Platform 팩을 클릭합니다.
AWS Network Firewall 로그 유형을 찾습니다.
다음 필드에 값을 지정합니다.
- 소스 유형: Amazon SQS V2
- Queue Name: 읽어올 SQS 큐 이름
- S3 URI: 버킷 URI입니다.
  - s3://your-log-bucket-name/
    - your-log-bucket-name을 실제 S3 버킷 이름으로 바꿉니다.
- 소스 삭제 옵션: 수집 환경설정에 따라 삭제 옵션을 선택합니다.
  
  참고: Delete transferred files 또는 Delete transferred files and empty directories 옵션을 선택하는 경우 서비스 계정에 적절한 권한을 부여했는지 확인하세요.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- SQS 대기열 액세스 키 ID: 20자리 영숫자 문자열인 계정 액세스 키입니다.
- SQS 대기열 보안 비밀 액세스 키: 40자로 된 영숫자 문자열인 계정 액세스 키입니다.
고급 옵션
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	`availability_zone` 필드에서 직접 매핑됩니다.
`event.app_proto`	`network.application_protocol`	`event.app_proto` 필드에서 직접 매핑되며, 지정된 값 (ikev2, tftp, failed, snmp, tls, ftp) 중 하나가 아닌 경우 대문자로 변환됩니다. HTTP2가 HTTP로 대체됩니다.
`event.dest_ip`	`target.ip`	`event.dest_ip` 필드에서 직접 매핑됩니다.
`event.dest_port`	`target.port`	`event.dest_port` 필드에서 직접 매핑되며 정수로 변환됩니다.
`event.event_type`	`additional.fields[event_type_label].key`	키는 'event_type'으로 하드 코딩됩니다.
`event.event_type`	`additional.fields[event_type_label].value.string_value`	`event.event_type` 필드에서 직접 매핑됩니다.
`event.flow_id`	`network.session_id`	`event.flow_id` 필드에서 직접 매핑되고 문자열로 변환됩니다.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	키는 'netflow_age'로 하드 코딩됩니다.
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	`event.netflow.age` 필드에서 직접 매핑되고 문자열로 변환됩니다.
`event.netflow.bytes`	`network.sent_bytes`	`event.netflow.bytes` 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	키는 'netflow_end'로 하드 코딩됩니다.
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	`event.netflow.end` 필드에서 직접 매핑됩니다.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	키는 'netflow_max_ttl'로 하드 코딩됩니다.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	`event.netflow.max_ttl` 필드에서 직접 매핑되고 문자열로 변환됩니다.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	키는 'netflow_min_ttl'로 하드 코딩됩니다.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	`event.netflow.min_ttl` 필드에서 직접 매핑되고 문자열로 변환됩니다.
`event.netflow.pkts`	`network.sent_packets`	`event.netflow.pkts` 필드에서 직접 매핑되며 정수로 변환됩니다.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	키는 'netflow_start'로 하드 코딩됩니다.
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	`event.netflow.start` 필드에서 직접 매핑됩니다.
`event.proto`	`network.ip_protocol`	`event.proto` 필드에서 직접 매핑됩니다. 값이 'IPv6-ICMP'이면 'ICMP'로 대체됩니다.
`event.src_ip`	`principal.ip`	`event.src_ip` 필드에서 직접 매핑됩니다.
`event.src_port`	`principal.port`	`event.src_port` 필드에서 직접 매핑되며 정수로 변환됩니다.
`event.tcp.syn`	`additional.fields[syn_label].key`	키는 'syn'으로 하드 코딩됩니다.
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	`event.tcp.syn` 필드에서 직접 매핑되고 문자열로 변환됩니다.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	키는 'tcp_flags'로 하드 코딩됩니다.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	`event.tcp.tcp_flags` 필드에서 직접 매핑됩니다.
`event_timestamp`	`metadata.event_timestamp.seconds`	`event_timestamp` 필드에서 직접 매핑되며 타임스탬프로 파싱됩니다.
`event_timestamp`	`timestamp.seconds`	`event_timestamp` 필드에서 직접 매핑되며 타임스탬프로 파싱됩니다.
`firewall_name`	`metadata.product_event_type`	`firewall_name` 필드에서 직접 매핑됩니다. `event.src_ip`과 `event.dest_ip`이 모두 있는 경우 'NETWORK_CONNECTION'으로 설정하고, 그렇지 않은 경우 'GENERIC_EVENT'로 설정합니다. 'AWS Network Firewall'로 하드코딩됩니다. 'AWS'로 하드코딩됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.