Recolha registos do AWS Route 53
Compatível com:
Google secops
SIEM
Este documento explica como configurar o AWS CloudTrail para armazenar registos de DNS do AWS Route 53 num contentor do S3 e carregar os registos do S3 para o Google Security Operations. O Amazon Route 53 oferece o registo de consultas de DNS e a capacidade de monitorizar os seus recursos através de verificações de funcionamento. O Route 53 está integrado com o AWS CloudTrail, um serviço que fornece um registo das ações realizadas por um utilizador, uma função ou um serviço AWS no Route 53.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado ao AWS
Como configurar o AWS Cloudtrail e o Route 53
- Inicie sessão na consola da AWS.
- Pesquise Cloudtrail.
- Se ainda não tiver uma trilha, clique em Criar trilha.
- Indique um nome do rasto .
- Selecione Criar novo contentor do S3 (também pode optar por usar um contentor do S3 existente).
- Indique um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS existente.
- Deixe as outras definições como predefinições e clique em Seguinte.
- Selecione Tipo de evento e certifique-se de que Eventos de gestão está selecionado (estes são os eventos que vão incluir chamadas da API Route 53).
- Clicar em Seguinte.
- Reveja as definições em Rever e criar.
- Clique em Criar trilho.
- Na consola da AWS, pesquise S3.
- Clique no contentor de registos recém-criado e selecione a pasta AWSLogs .
- Clique em Copiar URI do S3 e guarde-o.
Configure o utilizador do IAM da AWS
- Na consola da AWS, pesquise IAM.
- Clique em Utilizadores.
- Clique em Adicionar utilizadores.
- Indique um nome para o utilizador (por exemplo, chronicle-feed-user).
- Selecione Chave de acesso – Acesso programático como o tipo de credencial da AWS.
- Clique em Seguinte: autorizações.
- Selecione Anexar políticas existentes diretamente.
- Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
- Clique em Seguinte: Etiquetas.
- Opcional: adicione etiquetas, se necessário.
- Clique em Seguinte: rever.
- Reveja a configuração e clique em Criar utilizador.
- Copie o ID da chave de acesso e a chave de acesso secreta do utilizador criado.
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
- Definições do SIEM > Feeds > Adicionar novo
- Content Hub > Pacotes de conteúdo > Começar
Como configurar o feed de DNS do AWS Route 53
- Clique no pacote Amazon Cloud Platform.
- Localize o tipo de registo AWS Route 53 DNS.
Especifique os valores nos seguintes campos.
- Tipo de origem: Amazon SQS V2
- Nome da fila: o nome da fila SQS a partir da qual ler
- URI do S3: o URI do contentor.
s3://your-log-bucket-name/- Substitua
your-log-bucket-namepelo nome real do seu contentor do S3.
- Substitua
Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.
Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.
Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento do UDM | Lógica |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | O ID da conta da AWS associado à consulta. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | O ID da lista de domínios da qual o domínio consultado faz parte. |
| firewall_rule_action | read_only_udm.security_result.action | A ação realizada pela regra de firewall que correspondeu à consulta. Os valores possíveis são "ALLOW", "BLOCK" ou "UNKNOWN_ACTION" se a ação não for reconhecida. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | O ID do grupo de regras de firewall que correspondeu à consulta. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | O ID exclusivo do evento de registo. Usado como alternativa se "account_id" não estiver presente. |
| logEvents{}.message | Este campo é analisado noutros campos da UDM com base no respetivo formato. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | A hora em que a consulta DNS foi registada. |
| messageType | Este campo é usado para determinar a estrutura da mensagem de registo. | |
| proprietário | read_only_udm.principal.user.userid | O ID da conta da AWS do proprietário do registo. |
| query_class | read_only_udm.network.dns.questions.class | A classe da consulta DNS. |
| query_name | read_only_udm.network.dns.questions.name | O nome do domínio que foi consultado. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | A hora em que a consulta de DNS foi feita. |
| query_type | read_only_udm.metadata.product_event_type | O tipo de consulta DNS. |
| rcode | read_only_udm.metadata.description | O código de resposta da consulta DNS. |
| região | read_only_udm.principal.location.name | A região da AWS onde a consulta teve origem. |
| srcaddr | read_only_udm.principal.ip | O endereço IP do cliente que fez a consulta DNS. |
| srcids.instance | read_only_udm.principal.hostname | O ID da instância do cliente que fez a consulta DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | O ID do ponto final do resolvedor que processou a consulta. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | O ID da interface de rede do resolvedor que processou a consulta. |
| srcport | read_only_udm.principal.port | O número da porta do cliente que fez a consulta DNS. |
| transportes | read_only_udm.network.ip_protocol | O protocolo de transporte usado para a consulta DNS. |
| versão | read_only_udm.metadata.product_version | A versão do formato dos registos de consultas do Route 53 Resolver. |
| N/A | read_only_udm.metadata.event_type | Codificado de forma rígida como "NETWORK_DNS". |
| N/A | read_only_udm.metadata.product_name | Codificado como "AWS Route 53". |
| N/A | read_only_udm.metadata.vendor_name | Codificado de forma rígida como "AMAZON". |
| N/A | read_only_udm.principal.cloud.environment | Codificado de forma rígida como "AMAZON_WEB_SERVICES". |
| N/A | read_only_udm.network.application_protocol | Codificado de forma rígida para "DNS". |
| N/A | read_only_udm.network.dns.response_code | Mapeado a partir do campo "rcode" através de uma tabela de consulta. |
| N/A | read_only_udm.network.dns.questions.type | Mapeado a partir do campo "query_type" através de uma tabela de consulta. |
| N/A | read_only_udm.metadata.product_deployment_id | Extraído do campo "logevent.message_data" através do padrão grok. |
| N/A | read_only_udm.network.dns.authority.name | Extraído do campo "logevent.message_data" através do padrão grok. |
| N/A | read_only_udm.security_result.rule_labels.key | Definido como "firewall_domain_list_id", "resolver_endpoint" ou "resolver_network_interface", consoante os campos disponíveis. |
| N/A | read_only_udm.security_result.action_details | Definido para o valor de "firewall_rule_action" se não for "ALLOW" ou "BLOCK". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.