Recopila registros de AWS Route 53

Compatible con:

En este documento, se explica cómo configurar AWS CloudTrail para almacenar los registros de DNS de AWS Route 53 en un bucket de S3 y transferir los registros de S3 a Google Security Operations. Amazon Route 53 proporciona el registro de consultas de DNS y la capacidad de supervisar tus recursos con verificaciones de estado. Route 53 está integrado en AWS CloudTrail, un servicio que proporciona un registro de las acciones que realiza un usuario, un rol o un servicio de AWS en Route 53.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS.

Configura AWS CloudTrail y Route 53

  1. Accede a la consola de AWS.
  2. Busca Cloudtrail.
  3. Si aún no tienes un recorrido, haz clic en Crear recorrido.
  1. Proporciona un nombre para el sendero .
  2. Selecciona Crear bucket de S3 nuevo (también puedes usar un bucket de S3 existente).
  3. Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
  4. Deja los demás parámetros de configuración con su valor predeterminado y haz clic en Siguiente.
  5. Selecciona Tipo de evento y asegúrate de que esté seleccionada la opción Eventos de administración (estos son los eventos que incluirán las llamadas a la API de Route 53).
  6. Haz clic en Siguiente.
  7. Revisa la configuración en Revisar y crear.
  8. Haz clic en Crear sendero.
  9. En la consola de AWS, busca S3.
  10. Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs .
  11. Haz clic en Copiar URI de S3 y guárdalo.

Configura el usuario de IAM de AWS

  1. En la consola de AWS, busca IAM.
  2. Haz clic en Usuarios.
  3. Haz clic en Agregar usuarios.
  4. Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
  5. Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
  6. Haz clic en Next: Permissions.
  7. Selecciona Adjuntar las políticas existentes de forma directa.
  8. Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Haz clic en Siguiente: Etiquetas.
  2. Opcional: Agrega etiquetas si es necesario.
  3. Click Siguiente: Revisar.
  4. Revisa la configuración y haz clic en Crear usuario.
  5. Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.

Configura un feed en Google SecOps para transferir los registros de AWS Route 53

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Route 53).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona AWS Route 53 como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3:/BUCKET_NAME
        • Reemplaza BUCKET_NAME por el nombre real del bucket.
    • El URI es un: selecciona Directorio que incluye subdirectorios.
    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_id read_only_udm.principal.resource.product_object_id El ID de la cuenta de AWS asociado con la consulta.
firewall_domain_list_id read_only_udm.security_result.rule_labels.value Es el ID de la lista de dominios de la que forma parte el dominio que se consulta.
firewall_rule_action read_only_udm.security_result.action Es la acción que realiza la regla de firewall que coincidió con la consulta. Los valores posibles son "ALLOW", "BLOCK" o "UNKNOWN_ACTION" si no se reconoce la acción.
firewall_rule_group_id read_only_udm.security_result.rule_id Es el ID del grupo de reglas de firewall que coincidió con la consulta.
logEvents{}.id read_only_udm.principal.resource.product_object_id El ID único del evento de registro. Se usa como resguardo si no está presente "account_id".
logEvents{}.message Este campo se analiza en otros campos del UDM según su formato.
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds Es la hora en la que se registró la consulta de DNS.
messageType Este campo se usa para determinar la estructura del mensaje de registro.
propietario read_only_udm.principal.user.userid El ID de la cuenta de AWS del propietario del registro
query_class read_only_udm.network.dns.questions.class Es la clase de la consulta de DNS.
query_name read_only_udm.network.dns.questions.name Es el nombre de dominio que se consultó.
query_timestamp read_only_udm.metadata.event_timestamp.seconds Es la hora en la que se realizó la consulta de DNS.
query_type read_only_udm.metadata.product_event_type Es el tipo de consulta de DNS.
rcode read_only_udm.metadata.description El código de respuesta de la consulta de DNS.
región read_only_udm.principal.location.name La región de AWS en la que se originó la consulta
srcaddr read_only_udm.principal.ip La dirección IP del cliente que realizó la consulta de DNS.
srcids.instance read_only_udm.principal.hostname El ID de la instancia del cliente que realizó la consulta de DNS.
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value El ID del extremo del solucionador que manejó la consulta.
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value El ID de la interfaz de red del solucionador que controló la consulta.
srcport read_only_udm.principal.port Es el número de puerto del cliente que realizó la consulta de DNS.
transporte read_only_udm.network.ip_protocol Es el protocolo de transporte que se usa para la consulta de DNS.
versión read_only_udm.metadata.product_version Es la versión del formato de los registros de consulta del solucionador de Route 53.
N/A read_only_udm.metadata.event_type Se codifica de forma fija en "NETWORK_DNS".
N/A read_only_udm.metadata.product_name Está codificado de forma fija en "AWS Route 53".
N/A read_only_udm.metadata.vendor_name Está codificado de forma fija en “AMAZON”.
N/A read_only_udm.principal.cloud.environment Está codificado de forma fija en "AMAZON_WEB_SERVICES".
N/A read_only_udm.network.application_protocol Está codificado de forma fija en “DNS”.
N/A read_only_udm.network.dns.response_code Se asigna desde el campo "rcode" con una tabla de consulta.
N/A read_only_udm.network.dns.questions.type Se asigna desde el campo "query_type" con una tabla de consulta.
N/A read_only_udm.metadata.product_deployment_id Se extrae del campo "logevent.message_data" con el patrón grok.
N/A read_only_udm.network.dns.authority.name Se extrae del campo "logevent.message_data" con el patrón grok.
N/A read_only_udm.security_result.rule_labels.key Establece en "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface" según los campos disponibles.
N/A read_only_udm.security_result.action_details Establece el valor de "firewall_rule_action" si no es "ALLOW" o "BLOCK".

Cambios

2024-10-22

  • Mejora: Se asignó el campo "answers" a "network.dns.answers".

2024-10-17

  • Mejora: Se agregó on_error a todos los campos antes de asignarlos a la UDM.

2023-12-20

  • Corrección de errores:
  • Se agregó gsub para reemplazar “\"” por “#” y convertir SYSLOG en JSON.
  • Se agregó gsub para reemplazar "#" por "\".

2023-05-08

  • Mejora:
  • Se modificó el patrón Grok para los registros de DNS de consulta para admitir un nuevo formato de registro.
  • Controla los registros JSON que contienen varios eventos.

2022-08-10

  • Se quitaron los bloques de mutación en mayúsculas adicionales.

2022-07-22

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.