Raccogliere i log di AWS Route 53
Questo documento spiega come configurare AWS CloudTrail per archiviare i log DNS di AWS Route 53 in un bucket S3 e importare i log da S3 a Google Security Operations. Amazon Route 53 fornisce il logging delle query DNS e la possibilità di monitorare le risorse utilizzando i controlli di integrità. Route 53 è integrato con AWS CloudTrail, un servizio che fornisce un record delle azioni intraprese da un utente, un ruolo o un servizio AWS in Route 53.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad AWS
Come configurare AWS CloudTrail e Route 53
- Accedi alla console AWS.
- Cerca Cloudtrail.
- Se non hai ancora un percorso, fai clic su Crea percorso.
- Fornisci un nome della traccia .
- Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).
- Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
- Lascia invariate le altre impostazioni predefinite e fai clic su Avanti.
- Seleziona Tipo di evento, assicurati che sia selezionato Eventi di gestione (si tratta degli eventi che includeranno le chiamate API Route 53).
- Fai clic su Avanti.
- Rivedi le impostazioni in Rivedi e crea.
- Fai clic su Crea percorso.
- Nella console AWS, cerca S3.
- Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs .
- Fai clic su Copia URI S3 e salvalo.
Configura l'utente IAM AWS
- Nella console AWS, cerca IAM.
- Fai clic su Utenti.
- Fai clic su Aggiungi utenti.
- Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
- Seleziona Chiave di accesso - Accesso programmatico come tipo di credenziali AWS.
- Fai clic su Avanti: autorizzazioni.
- Seleziona Collega direttamente i criteri esistenti.
- Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
- Fai clic su Avanti: tag.
- (Facoltativo) Aggiungi eventuali tag, se necessario.
- Fai clic su Successivo: esamina.
- Rivedi la configurazione e fai clic su Crea utente.
- Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed > Aggiungi nuovo feed
- Hub dei contenuti > Pacchetti di contenuti > Inizia
Come configurare il feed DNS di AWS Route 53
- Fai clic sul pacchetto Amazon Cloud Platform.
- Individua il tipo di log AWS Route 53 DNS.
- (Facoltativo) Se utilizzi l'API Ingestion per l'importazione diretta dei log, specifica AWS Route 53 come tipo di log.
Specifica i valori nei seguenti campi.
- Tipo di origine: Amazon SQS V2
- Nome coda: il nome della coda SQS da cui leggere
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/
- Sostituisci
your-log-bucket-name
con il nome effettivo del bucket S3.
- Sostituisci
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.
Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
account_id | read_only_udm.principal.resource.product_object_id | L'ID account AWS associato alla query. |
firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | L'ID dell'elenco di domini di cui fa parte il dominio sottoposto a query. |
firewall_rule_action | read_only_udm.security_result.action | L'azione eseguita dalla regola firewall che corrisponde alla query. I valori possibili sono "ALLOW", "BLOCK" o "UNKNOWN_ACTION" se l'azione non viene riconosciuta. |
firewall_rule_group_id | read_only_udm.security_result.rule_id | L'ID del gruppo di regole firewall che corrisponde alla query. |
logEvents{}.id | read_only_udm.principal.resource.product_object_id | L'ID univoco dell'evento di log. Utilizzato come fallback se "account_id" non è presente. |
logEvents{}.message | Questo campo viene analizzato in altri campi UDM in base al suo formato. | |
logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | L'ora in cui è stata registrata la query DNS. |
messageType | Questo campo viene utilizzato per determinare la struttura del messaggio di log. | |
proprietario | read_only_udm.principal.user.userid | L'ID account AWS del proprietario del log. |
query_class | read_only_udm.network.dns.questions.class | La classe della query DNS. |
query_name | read_only_udm.network.dns.questions.name | Il nome di dominio su cui è stata eseguita la query. |
query_timestamp | read_only_udm.metadata.event_timestamp.seconds | L'ora in cui è stata eseguita la query DNS. |
query_type | read_only_udm.metadata.product_event_type | Il tipo di query DNS. |
rcode | read_only_udm.metadata.description | Il codice di risposta della query DNS. |
regione | read_only_udm.principal.location.name | La regione AWS da cui ha avuto origine la query. |
srcaddr | read_only_udm.principal.ip | L'indirizzo IP del client che ha eseguito la query DNS. |
srcids.instance | read_only_udm.principal.hostname | L'ID istanza del client che ha eseguito la query DNS. |
srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | L'ID endpoint del resolver che ha gestito la query. |
srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | L'ID dell'interfaccia di rete del resolver che ha gestito la query. |
srcport | read_only_udm.principal.port | Il numero di porta del client che ha eseguito la query DNS. |
trasporto | read_only_udm.network.ip_protocol | Il protocollo di trasporto utilizzato per la query DNS. |
versione | read_only_udm.metadata.product_version | La versione del formato dei log delle query del resolver Route 53. |
N/D | read_only_udm.metadata.event_type | Codificato come "NETWORK_DNS". |
N/D | read_only_udm.metadata.product_name | Codificato in modo permanente su "AWS Route 53". |
N/D | read_only_udm.metadata.vendor_name | Codificato in modo permanente su "AMAZON". |
N/D | read_only_udm.principal.cloud.environment | Codificato come "AMAZON_WEB_SERVICES". |
N/D | read_only_udm.network.application_protocol | Codificato in modo permanente su "DNS". |
N/D | read_only_udm.network.dns.response_code | Mappato dal campo "rcode" utilizzando una tabella di ricerca. |
N/D | read_only_udm.network.dns.questions.type | Mappato dal campo "query_type" utilizzando una tabella di ricerca. |
N/D | read_only_udm.metadata.product_deployment_id | Estratto dal campo "logevent.message_data" utilizzando il pattern grok. |
N/D | read_only_udm.network.dns.authority.name | Estratto dal campo "logevent.message_data" utilizzando il pattern grok. |
N/D | read_only_udm.security_result.rule_labels.key | Imposta "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface" a seconda dei campi disponibili. |
N/D | read_only_udm.security_result.action_details | Impostato sul valore di "firewall_rule_action" se non è "ALLOW" o "BLOCK". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.