收集 AWS 网络防火墙日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何将 AWS 网络防火墙日志提取到 Google 安全运营中心。AWS 网络防火墙是一项托管式服务,可保护您的 VPC 免受恶意流量的影响。通过将网络防火墙日志发送到 Google SecOps,您可以改进监控、分析和威胁检测。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 AWS 的特权访问权限。
为 AWS Network Firewall 配置日志记录
- 登录 AWS Management Console。
- 打开 Amazon VPC 控制台。
- 在导航窗格中,选择防火墙。
- 选择要修改的防火墙的名称。
- 选择防火墙详情标签页。
- 在日志记录部分,点击修改。
- 选择日志类型:流量、提醒和 TLS。
对于每个所选的日志类型,请选择 S3 作为目标位置类型。
点击保存。
在 Google SecOps 中配置 Feed 以提取 AWS 网络防火墙日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在数据 Feed 名称字段中,输入数据 Feed 的名称(例如 AWS 网络防火墙日志)。
- 选择 Amazon S3 作为来源类型。
- 选择 AWS 网络防火墙作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- 区域:Amazon S3 存储分区所在的区域。
- S3 URI:存储分区 URI。
s3://your-log-bucket-name/- 将
your-log-bucket-name替换为存储分区的实际名称。
- 将
- URI 是:选择目录或包含子目录的目录。
来源删除选项:根据您的偏好选择删除选项。
访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
私有访问密钥:有权访问 S3 存储分区的用户私有密钥。
资源命名空间:资源命名空间。
提取标签:要应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
availability_zone |
target.resource.attribute.cloud.availability_zone |
直接从 availability_zone 字段映射。 |
event.app_proto |
network.application_protocol |
直接从 event.app_proto 字段映射而来,如果不是指定值之一(ikev2、tftp、failed、snmp、tls、ftp),则转换为大写。HTTP2 已替换为 HTTP。 |
event.dest_ip |
target.ip |
直接从 event.dest_ip 字段映射。 |
event.dest_port |
target.port |
直接从 event.dest_port 字段映射,并转换为整数。 |
event.event_type |
additional.fields[event_type_label].key |
该键已硬编码为“event_type”。 |
event.event_type |
additional.fields[event_type_label].value.string_value |
直接从 event.event_type 字段映射。 |
event.flow_id |
network.session_id |
直接从 event.flow_id 字段映射,转换为字符串。 |
event.netflow.age |
additional.fields[netflow_age_label].key |
该键已硬编码为“netflow_age”。 |
event.netflow.age |
additional.fields[netflow_age_label].value.string_value |
直接从 event.netflow.age 字段映射,转换为字符串。 |
event.netflow.bytes |
network.sent_bytes |
直接从 event.netflow.bytes 字段映射,转换为无符号整数。 |
event.netflow.end |
additional.fields[netflow_end_label].key |
该键已硬编码为“netflow_end”。 |
event.netflow.end |
additional.fields[netflow_end_label].value.string_value |
直接从 event.netflow.end 字段映射。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].key |
该键已硬编码为“netflow_max_ttl”。 |
event.netflow.max_ttl |
additional.fields[netflow_max_ttl_label].value.string_value |
直接从 event.netflow.max_ttl 字段映射,转换为字符串。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].key |
该键已硬编码为“netflow_min_ttl”。 |
event.netflow.min_ttl |
additional.fields[netflow_min_ttl_label].value.string_value |
直接从 event.netflow.min_ttl 字段映射,转换为字符串。 |
event.netflow.pkts |
network.sent_packets |
直接从 event.netflow.pkts 字段映射,转换为整数。 |
event.netflow.start |
additional.fields[netflow_start_label].key |
该键已硬编码为“netflow_start”。 |
event.netflow.start |
additional.fields[netflow_start_label].value.string_value |
直接从 event.netflow.start 字段映射。 |
event.proto |
network.ip_protocol |
直接从 event.proto 字段映射。如果值为“IPv6-ICMP”,则会替换为“ICMP”。 |
event.src_ip |
principal.ip |
直接从 event.src_ip 字段映射。 |
event.src_port |
principal.port |
直接从 event.src_port 字段映射,并转换为整数。 |
event.tcp.syn |
additional.fields[syn_label].key |
该键已硬编码为“syn”。 |
event.tcp.syn |
additional.fields[syn_label].value.string_value |
直接从 event.tcp.syn 字段映射,转换为字符串。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].key |
该键已硬编码为“tcp_flags”。 |
event.tcp.tcp_flags |
additional.fields[tcp_flags_label].value.string_value |
直接从 event.tcp.tcp_flags 字段映射。 |
event_timestamp |
metadata.event_timestamp.seconds |
直接从 event_timestamp 字段映射,解析为时间戳。 |
event_timestamp |
timestamp.seconds |
直接从 event_timestamp 字段映射,解析为时间戳。 |
firewall_name |
metadata.product_event_type |
直接从 firewall_name 字段映射。如果同时存在 event.src_ip 和 event.dest_ip,请将其设置为“NETWORK_CONNECTION”,否则请将其设置为“GENERIC_EVENT”。已硬编码为“AWS 网络防火墙”。已硬编码为“AWS”。 |
变化
2023-05-05
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。