Raccogliere i log di AWS Route 53

Supportato in:

Questo documento spiega come configurare AWS CloudTrail per archiviare i log DNS di AWS Route 53 in un bucket S3 e importare i log da S3 a Google Security Operations. Amazon Route 53 fornisce il logging delle query DNS e la possibilità di monitorare le risorse utilizzando i controlli di integrità. Route 53 è integrato con AWS CloudTrail, un servizio che fornisce un record delle azioni intraprese da un utente, un ruolo o un servizio AWS in Route 53.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Come configurare AWS CloudTrail e Route 53

  1. Accedi alla console AWS.
  2. Cerca Cloudtrail.
  3. Se non hai ancora un percorso, fai clic su Crea percorso.
  1. Fornisci un nome della traccia .
  2. Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).
  3. Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
  4. Lascia invariate le altre impostazioni predefinite e fai clic su Avanti.
  5. Seleziona Tipo di evento, assicurati che sia selezionato Eventi di gestione (si tratta degli eventi che includeranno le chiamate API Route 53).
  6. Fai clic su Avanti.
  7. Rivedi le impostazioni in Rivedi e crea.
  8. Fai clic su Crea percorso.
  9. Nella console AWS, cerca S3.
  10. Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs .
  11. Fai clic su Copia URI S3 e salvalo.

Configura l'utente IAM AWS

  1. Nella console AWS, cerca IAM.
  2. Fai clic su Utenti.
  3. Fai clic su Aggiungi utenti.
  4. Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
  5. Seleziona Chiave di accesso - Accesso programmatico come tipo di credenziali AWS.
  6. Fai clic su Avanti: autorizzazioni.
  7. Seleziona Collega direttamente i criteri esistenti.
  8. Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
  1. Fai clic su Avanti: tag.
  2. (Facoltativo) Aggiungi eventuali tag, se necessario.
  3. Fai clic su Successivo: esamina.
  4. Rivedi la configurazione e fai clic su Crea utente.
  5. Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed DNS di AWS Route 53

  1. Fai clic sul pacchetto Amazon Cloud Platform.
  2. Individua il tipo di log AWS Route 53 DNS.
  3. (Facoltativo) Se utilizzi l'API Ingestion per l'importazione diretta dei log, specifica AWS Route 53 come tipo di log.
  4. Specifica i valori nei seguenti campi.

    • Tipo di origine: Amazon SQS V2
    • Nome coda: il nome della coda SQS da cui leggere
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket S3.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.

    • Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
  5. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
account_id read_only_udm.principal.resource.product_object_id L'ID account AWS associato alla query.
firewall_domain_list_id read_only_udm.security_result.rule_labels.value L'ID dell'elenco di domini di cui fa parte il dominio sottoposto a query.
firewall_rule_action read_only_udm.security_result.action L'azione eseguita dalla regola firewall che corrisponde alla query. I valori possibili sono "ALLOW", "BLOCK" o "UNKNOWN_ACTION" se l'azione non viene riconosciuta.
firewall_rule_group_id read_only_udm.security_result.rule_id L'ID del gruppo di regole firewall che corrisponde alla query.
logEvents{}.id read_only_udm.principal.resource.product_object_id L'ID univoco dell'evento di log. Utilizzato come fallback se "account_id" non è presente.
logEvents{}.message Questo campo viene analizzato in altri campi UDM in base al suo formato.
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds L'ora in cui è stata registrata la query DNS.
messageType Questo campo viene utilizzato per determinare la struttura del messaggio di log.
proprietario read_only_udm.principal.user.userid L'ID account AWS del proprietario del log.
query_class read_only_udm.network.dns.questions.class La classe della query DNS.
query_name read_only_udm.network.dns.questions.name Il nome di dominio su cui è stata eseguita la query.
query_timestamp read_only_udm.metadata.event_timestamp.seconds L'ora in cui è stata eseguita la query DNS.
query_type read_only_udm.metadata.product_event_type Il tipo di query DNS.
rcode read_only_udm.metadata.description Il codice di risposta della query DNS.
regione read_only_udm.principal.location.name La regione AWS da cui ha avuto origine la query.
srcaddr read_only_udm.principal.ip L'indirizzo IP del client che ha eseguito la query DNS.
srcids.instance read_only_udm.principal.hostname L'ID istanza del client che ha eseguito la query DNS.
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value L'ID endpoint del resolver che ha gestito la query.
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value L'ID dell'interfaccia di rete del resolver che ha gestito la query.
srcport read_only_udm.principal.port Il numero di porta del client che ha eseguito la query DNS.
trasporto read_only_udm.network.ip_protocol Il protocollo di trasporto utilizzato per la query DNS.
versione read_only_udm.metadata.product_version La versione del formato dei log delle query del resolver Route 53.
N/D read_only_udm.metadata.event_type Codificato come "NETWORK_DNS".
N/D read_only_udm.metadata.product_name Codificato in modo permanente su "AWS Route 53".
N/D read_only_udm.metadata.vendor_name Codificato in modo permanente su "AMAZON".
N/D read_only_udm.principal.cloud.environment Codificato come "AMAZON_WEB_SERVICES".
N/D read_only_udm.network.application_protocol Codificato in modo permanente su "DNS".
N/D read_only_udm.network.dns.response_code Mappato dal campo "rcode" utilizzando una tabella di ricerca.
N/D read_only_udm.network.dns.questions.type Mappato dal campo "query_type" utilizzando una tabella di ricerca.
N/D read_only_udm.metadata.product_deployment_id Estratto dal campo "logevent.message_data" utilizzando il pattern grok.
N/D read_only_udm.network.dns.authority.name Estratto dal campo "logevent.message_data" utilizzando il pattern grok.
N/D read_only_udm.security_result.rule_labels.key Imposta "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface" a seconda dei campi disponibili.
N/D read_only_udm.security_result.action_details Impostato sul valore di "firewall_rule_action" se non è "ALLOW" o "BLOCK".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.