Mengumpulkan log AWS Route 53
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengonfigurasi AWS CloudTrail untuk menyimpan log DNS AWS Route 53 di bucket S3 dan menyerap log dari S3 ke Google Security Operations. Amazon Route 53 menyediakan logging kueri DNS dan kemampuan untuk memantau resource Anda menggunakan health check. Route 53 terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang dilakukan oleh pengguna, peran, atau layanan AWS di Route 53.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke AWS.
Mengonfigurasi AWS Cloudtrail dan Route 53
- Login ke Konsol AWS.
- Telusuri Cloudtrail.
- Jika Anda belum memiliki jalur, klik Buat jalur.
- Berikan Nama jalur .
- Pilih Buat bucket S3 baru (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).
- Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
- Biarkan setelan lainnya sebagai default, lalu klik Next.
- Pilih Jenis peristiwa, pastikan Peristiwa pengelolaan dipilih (ini adalah peristiwa yang akan menyertakan panggilan Route 53 API).
- Klik Berikutnya.
- Tinjau setelan di Tinjau dan buat.
- Klik Buat jalur.
- Di konsol AWS, telusuri S3.
- Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs .
- Klik Salin URI S3 dan simpan.
Mengonfigurasi Pengguna AWS IAM
- Di konsol AWS, telusuri IAM.
- Klik Pengguna.
- Klik Tambahkan Pengguna.
- Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
- Pilih Access key - Programmatic access sebagai jenis kredensial AWS.
- Klik Berikutnya: Izin.
- Pilih Lampirkan kebijakan yang ada secara langsung.
- Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
- Klik Berikutnya: Tanda.
- Opsional: tambahkan tag jika diperlukan.
- Klik Berikutnya: Tinjau.
- Tinjau konfigurasi, lalu klik Create user.
- Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.
Mengonfigurasi feed di Google SecOps untuk menyerap log AWS Route 53
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Route 53 Logs).
- Pilih Amazon S3 sebagai Source type.
- Pilih AWS Route 53 sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: region tempat bucket Amazon S3 berada.
- S3 URI: URI bucket.
s3:/BUCKET_NAME- Ganti
BUCKET_NAMEdengan nama bucket yang sebenarnya.
- Ganti
- URI adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| id_akun | read_only_udm.principal.resource.product_object_id | ID akun AWS yang terkait dengan kueri. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | ID daftar domain yang menjadi bagian dari domain yang dikueri. |
| firewall_rule_action | read_only_udm.security_result.action | Tindakan yang dilakukan oleh aturan firewall yang cocok dengan kueri. Nilai yang mungkin adalah "ALLOW", "BLOCK", atau "UNKNOWN_ACTION" jika tindakan tidak dikenali. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | ID grup aturan firewall yang cocok dengan kueri. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | ID unik peristiwa log. Digunakan sebagai penggantian jika 'account_id' tidak ada. |
| logEvents{}.message | Kolom ini diuraikan ke dalam kolom UDM lainnya berdasarkan formatnya. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dicatat ke dalam log. |
| messageType | Kolom ini digunakan untuk menentukan struktur pesan log. | |
| owner | read_only_udm.principal.user.userid | ID akun AWS pemilik log. |
| query_class | read_only_udm.network.dns.questions.class | Class kueri DNS. |
| query_name | read_only_udm.network.dns.questions.name | Nama domain yang dikueri. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dibuat. |
| query_type | read_only_udm.metadata.product_event_type | Jenis kueri DNS. |
| rcode | read_only_udm.metadata.description | Kode respons kueri DNS. |
| region | read_only_udm.principal.location.name | Region AWS tempat kueri berasal. |
| srcaddr | read_only_udm.principal.ip | Alamat IP klien yang membuat kueri DNS. |
| srcids.instance | read_only_udm.principal.hostname | ID instance klien yang membuat kueri DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | ID endpoint resolver yang menangani kueri. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | ID antarmuka jaringan resolver yang menangani kueri. |
| srcport | read_only_udm.principal.port | Nomor port klien yang membuat kueri DNS. |
| transportasi | read_only_udm.network.ip_protocol | Protokol transpor yang digunakan untuk kueri DNS. |
| versi | read_only_udm.metadata.product_version | Versi format Log Kueri Resolver Route 53. |
| T/A | read_only_udm.metadata.event_type | Di-hardcode ke "NETWORK_DNS". |
| T/A | read_only_udm.metadata.product_name | Di-hardcode ke "AWS Route 53". |
| T/A | read_only_udm.metadata.vendor_name | Di-hardcode ke "AMAZON". |
| T/A | read_only_udm.principal.cloud.environment | Di-hardcode ke "AMAZON_WEB_SERVICES". |
| T/A | read_only_udm.network.application_protocol | Di-hardcode ke "DNS". |
| T/A | read_only_udm.network.dns.response_code | Dipetakan dari kolom "rcode" menggunakan tabel pencarian. |
| T/A | read_only_udm.network.dns.questions.type | Dipetakan dari kolom "query_type" menggunakan tabel pencarian. |
| T/A | read_only_udm.metadata.product_deployment_id | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.network.dns.authority.name | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.security_result.rule_labels.key | Tetapkan ke "firewall_domain_list_id", "resolver_endpoint", atau "resolver_network_interface", bergantung pada kolom yang tersedia. |
| T/A | read_only_udm.security_result.action_details | Tetapkan ke nilai "firewall_rule_action" jika bukan "ALLOW" atau "BLOCK". |
Perubahan
2024-10-22
- Peningkatan: Memetakan kolom "answers" ke "network.dns.answers".
2024-10-17
- Peningkatan: Menambahkan on_error ke semua kolom sebelum memetakan ke UDM.
2023-12-20
- Perbaikan Bug:
- Menambahkan gsub untuk mengganti "\" dengan "#" guna mengonversi SYSLOG menjadi JSON.
- Menambahkan gsub untuk mengganti kembali "#" dengan "\".
2023-05-08
- Peningkatan:
- Pola Grok yang diubah untuk log DNS kueri guna mendukung format log baru.
- Menangani log JSON yang berisi beberapa peristiwa.
2022-08-10
- Menghapus blok mutasi huruf besar tambahan.
2022-07-22
- Parser yang baru dibuat.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.