Esta página foi traduzida pela API Cloud Translation.

Recolha registos da firewall de rede da AWS

Compatível com:

Google secops SIEM

Este documento explica como carregar registos da firewall de rede da AWS para o Google Security Operations. A firewall de rede da AWS é um serviço gerido que oferece proteção à sua VPC contra tráfego malicioso. Ao enviar registos da firewall de rede para o Google SecOps, pode melhorar a monitorização, a análise e a deteção de ameaças.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Instância do Google SecOps
Acesso privilegiado ao AWS

Como configurar o registo para a firewall de rede da AWS

Inicie sessão na AWS Management Console.
Abra a consola da Amazon VPC.
No painel de navegação, selecione Firewalls.
Selecione o nome da firewall que quer editar.
Selecione o separador Detalhes da firewall.
Na secção Registo, clique em Editar.
Selecione os tipos de registo: Fluxo, Alerta e TLS.
Para cada tipo de registo selecionado, escolha S3 para o tipo de destino.

Nota: para alterar o destino de um tipo de registo existente, primeiro tem de desativar o registo para a política.
Em seguida, edite a política e especifique os novos destinos para o tipo de registo.
Clique em Guardar.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

Definições do SIEM > Feeds > Adicionar novo
Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed da firewall de rede da AWS

Clique no pacote Amazon Cloud Platform.
Localize o tipo de registo AWS Network Firewall.
Especifique os valores nos seguintes campos.
- Tipo de origem: Amazon SQS V2
- Nome da fila: o nome da fila SQS a partir da qual ler
- URI do S3: o URI do contentor.
  - s3://your-log-bucket-name/
    - Substitua your-log-bucket-name pelo nome real do seu contentor do S3.
- Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.
  
  Nota: se selecionar a opção Delete transferred files ou Delete transferred files and empty directories, certifique-se de que concedeu as autorizações adequadas à conta de serviço.
- Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
- ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.
- Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Mapeado diretamente a partir do campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Mapeado diretamente a partir do campo `event.app_proto`, convertido em maiúsculas se não for um dos valores especificados (ikev2, tftp, failed, snmp, tls, ftp). O HTTP2 é substituído por HTTP.
`event.dest_ip`	`target.ip`	Mapeado diretamente a partir do campo `event.dest_ip`.
`event.dest_port`	`target.port`	Mapeado diretamente a partir do campo `event.dest_port`, convertido em número inteiro.
`event.event_type`	`additional.fields[event_type_label].key`	A chave está codificada como "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Mapeado diretamente a partir do campo `event.event_type`.
`event.flow_id`	`network.session_id`	Mapeado diretamente a partir do campo `event.flow_id`, convertido em string.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	A chave está codificada como "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Mapeado diretamente a partir do campo `event.netflow.age`, convertido em string.
`event.netflow.bytes`	`network.sent_bytes`	Mapeado diretamente a partir do campo `event.netflow.bytes`, convertido em número inteiro não assinado.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	A chave está codificada como "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Mapeado diretamente a partir do campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	A chave está codificada como "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Mapeado diretamente a partir do campo `event.netflow.max_ttl`, convertido em string.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	A chave está codificada como "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Mapeado diretamente a partir do campo `event.netflow.min_ttl`, convertido em string.
`event.netflow.pkts`	`network.sent_packets`	Mapeado diretamente a partir do campo `event.netflow.pkts`, convertido em número inteiro.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	A chave está codificada como "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Mapeado diretamente a partir do campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Mapeado diretamente a partir do campo `event.proto`. Se o valor for "IPv6-ICMP", é substituído por "ICMP".
`event.src_ip`	`principal.ip`	Mapeado diretamente a partir do campo `event.src_ip`.
`event.src_port`	`principal.port`	Mapeado diretamente a partir do campo `event.src_port`, convertido em número inteiro.
`event.tcp.syn`	`additional.fields[syn_label].key`	A chave está codificada como "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Mapeado diretamente a partir do campo `event.tcp.syn`, convertido em string.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	A chave está codificada como "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Mapeado diretamente a partir do campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Mapeado diretamente a partir do campo `event_timestamp`, analisado como uma data/hora.
`event_timestamp`	`timestamp.seconds`	Mapeado diretamente a partir do campo `event_timestamp`, analisado como uma data/hora.
`firewall_name`	`metadata.product_event_type`	Mapeado diretamente a partir do campo `firewall_name`. Definido como "NETWORK_CONNECTION" se `event.src_ip` e `event.dest_ip` estiverem presentes. Caso contrário, é definido como "GENERIC_EVENT". Codificado de forma rígida para "AWS Network Firewall". Codificado de forma rígida para "AWS".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.