Coletar registros do AWS Network Firewall

Compatível com:

Este documento explica como transferir os registros do AWS Network Firewall para o Google Security Operations. O AWS Network Firewall é um serviço gerenciado que protege sua VPC contra tráfego malicioso. Ao enviar registros do Network Firewall para o Google SecOps, você pode melhorar o monitoramento, a análise e a detecção de ameaças.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à AWS.

Configurar a geração de registros para a AWS Network Firewall

  1. Faça login no Console de Gerenciamento da AWS.
  2. Abra o console da Amazon VPC.
  3. No painel de navegação, selecione Firewalls.
  4. Selecione o nome do firewall que você quer editar.
  5. Selecione a guia Detalhes do firewall.
  6. Na seção Registro, clique em Editar.
  7. Selecione os tipos de registro: Fluxo, Alerta e TLS.

  8. Para cada tipo de registro selecionado, escolha S3 como tipo de destino.

  9. Clique em Salvar.

Configurar um feed no Google SecOps para processar registros do AWS Network Firewall

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, AWS Network Firewall Logs).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione Firewall de rede da AWS como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do bucket.
    • O URI é: selecione Diretório ou Diretório que inclui subdiretórios.

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
availability_zone target.resource.attribute.cloud.availability_zone Mapeado diretamente do campo availability_zone.
event.app_proto network.application_protocol Mapeado diretamente do campo event.app_proto, convertido em maiúsculas se não for um dos valores especificados (ikev2, tftp, failed, snmp, tls, ftp). O HTTP2 é substituído por HTTP.
event.dest_ip target.ip Mapeado diretamente do campo event.dest_ip.
event.dest_port target.port Mapeado diretamente do campo event.dest_port, convertido em número inteiro.
event.event_type additional.fields[event_type_label].key A chave é codificada como "event_type".
event.event_type additional.fields[event_type_label].value.string_value Mapeado diretamente do campo event.event_type.
event.flow_id network.session_id Mapeado diretamente do campo event.flow_id, convertido em string.
event.netflow.age additional.fields[netflow_age_label].key A chave é codificada como "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Mapeado diretamente do campo event.netflow.age, convertido em string.
event.netflow.bytes network.sent_bytes Mapeado diretamente do campo event.netflow.bytes, convertido em número inteiro não assinado.
event.netflow.end additional.fields[netflow_end_label].key A chave é codificada como "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Mapeado diretamente do campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key A chave é codificada como "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Mapeado diretamente do campo event.netflow.max_ttl, convertido em string.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key A chave é codificada como "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Mapeado diretamente do campo event.netflow.min_ttl, convertido em string.
event.netflow.pkts network.sent_packets Mapeado diretamente do campo event.netflow.pkts, convertido em número inteiro.
event.netflow.start additional.fields[netflow_start_label].key A chave é codificada como "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Mapeado diretamente do campo event.netflow.start.
event.proto network.ip_protocol Mapeado diretamente do campo event.proto. Se o valor for "IPv6-ICMP", ele será substituído por "ICMP".
event.src_ip principal.ip Mapeado diretamente do campo event.src_ip.
event.src_port principal.port Mapeado diretamente do campo event.src_port, convertido em número inteiro.
event.tcp.syn additional.fields[syn_label].key A chave é codificada como "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Mapeado diretamente do campo event.tcp.syn, convertido em string.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key A chave é codificada como "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Mapeado diretamente do campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Mapeado diretamente do campo event_timestamp, analisado como um carimbo de data/hora.
event_timestamp timestamp.seconds Mapeado diretamente do campo event_timestamp, analisado como um carimbo de data/hora.
firewall_name metadata.product_event_type Mapeado diretamente do campo firewall_name. Defina como "NETWORK_CONNECTION" se event.src_ip e event.dest_ip estiverem presentes. Caso contrário, defina como "GENERIC_EVENT". Fixado em "AWS Network Firewall". Fixado em "AWS".

Alterações

2023-05-05

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.