收集 AWS Route 53 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何配置 AWS CloudTrail 以将 AWS Route 53 DNS 日志存储在 S3 存储桶中,以及如何将日志从 S3 注入到 Google Security Operations。Amazon Route 53 提供 DNS 查询日志记录功能,并支持使用健康检查来监控资源。Route 53 与 AWS CloudTrail 集成,后者是一项服务,可提供用户、角色或 AWS 服务在 Route 53 中执行的操作记录。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 AWS 的特权访问权限
如何配置 AWS Cloudtrail 和 Route 53
- 登录 AWS 控制台。
- 搜索 Cloudtrail。
- 如果您还没有轨迹,请点击创建轨迹。
- 提供轨迹名称。
- 选择 Create new S3 bucket(您也可以选择使用现有的 S3 存储桶)。
- 提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。
- 将其他设置保留为默认值,然后点击下一步。
- 选择事件类型,确保已选择管理事件(这些事件将包含 Route 53 API 调用)。
- 点击下一步。
- 在检查并创建中检查设置。
- 点击创建试验。
- 在 AWS 控制台中,搜索 S3。
- 点击新创建的日志存储桶,然后选择 AWSLogs 文件夹。
- 点击复制 S3 URI 并保存。
配置 AWS IAM 用户
- 在 AWS 控制台中,搜索 IAM。
- 点击用户。
- 点击添加用户。
- 为用户提供名称(例如 chronicle-feed-user)。
- 选择 Access key - Programmatic access(访问密钥 - 以程序化方式访问)作为 AWS 凭据类型。
- 点击 Next: Permissions。
- 选择 Attach existing policies directly。
- 选择 AmazonS3ReadOnlyAccess 或 AmazonS3FullAccess。
- 点击 Next: Tags。
- 可选:根据需要添加任何标记。
- 点击下一步:检查。
- 检查配置,然后点击 Create user。
- 复制已创建用户的访问密钥 ID 和私有访问密钥。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 AWS Route 53 DNS Feed
- 点击 Amazon Cloud Platform 包。
- 找到 AWS Route 53 DNS 日志类型。
- 可选:如果您使用 Ingestion API 直接提取日志,请指定 AWS Route 53 作为日志类型。
在以下字段中指定值。
- 来源类型:Amazon SQS V2
- 队列名称:要从中读取数据的 SQS 队列名称
- S3 URI:存储桶 URI。
s3://your-log-bucket-name/
- 将
your-log-bucket-name
替换为您的 S3 存储桶的实际名称。
- 将
源删除选项:根据您的提取偏好设置选择删除选项。
文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。
SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
account_id | read_only_udm.principal.resource.product_object_id | 与查询相关联的 AWS 账号 ID。 |
firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | 所查询网域所属的网域列表的 ID。 |
firewall_rule_action | read_only_udm.security_result.action | 与查询匹配的防火墙规则执行的操作。可能的值为“ALLOW”“BLOCK”或“UNKNOWN_ACTION”(如果操作无法识别)。 |
firewall_rule_group_id | read_only_udm.security_result.rule_id | 与查询匹配的防火墙规则组的 ID。 |
logEvents{}.id | read_only_udm.principal.resource.product_object_id | 日志事件的唯一 ID。如果不存在“account_id”,则用作后备。 |
logEvents{}.message | 系统会根据此字段的格式将其解析为其他 UDM 字段。 | |
logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | 记录 DNS 查询的时间。 |
messageType | 此字段用于确定日志消息的结构。 | |
所有者 | read_only_udm.principal.user.userid | 日志所有者的 AWS 账号 ID。 |
query_class | read_only_udm.network.dns.questions.class | DNS 查询的类别。 |
query_name | read_only_udm.network.dns.questions.name | 所查询的域名。 |
query_timestamp | read_only_udm.metadata.event_timestamp.seconds | 发出 DNS 查询的时间。 |
query_type | read_only_udm.metadata.product_event_type | DNS 查询的类型。 |
rcode | read_only_udm.metadata.description | DNS 查询的响应代码。 |
区域 | read_only_udm.principal.location.name | 查询的来源 AWS 区域。 |
srcaddr | read_only_udm.principal.ip | 发出 DNS 查询的客户端的 IP 地址。 |
srcids.instance | read_only_udm.principal.hostname | 发出 DNS 查询的客户端的实例 ID。 |
srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | 处理查询的解析器的端点 ID。 |
srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | 处理查询的解析器的网络接口 ID。 |
srcport | read_only_udm.principal.port | 发出 DNS 查询的客户端的端口号。 |
transport | read_only_udm.network.ip_protocol | 用于 DNS 查询的传输协议。 |
版本 | read_only_udm.metadata.product_version | Route 53 解析器查询日志格式的版本。 |
不适用 | read_only_udm.metadata.event_type | 硬编码为“NETWORK_DNS”。 |
不适用 | read_only_udm.metadata.product_name | 硬编码为“AWS Route 53”。 |
不适用 | read_only_udm.metadata.vendor_name | 硬编码为“AMAZON”。 |
不适用 | read_only_udm.principal.cloud.environment | 硬编码为“AMAZON_WEB_SERVICES”。 |
不适用 | read_only_udm.network.application_protocol | 硬编码为“DNS”。 |
不适用 | read_only_udm.network.dns.response_code | 使用查找表从“rcode”字段映射。 |
不适用 | read_only_udm.network.dns.questions.type | 使用查找表从“query_type”字段映射。 |
不适用 | read_only_udm.metadata.product_deployment_id | 使用 grok 模式从“logevent.message_data”字段中提取。 |
不适用 | read_only_udm.network.dns.authority.name | 使用 grok 模式从“logevent.message_data”字段中提取。 |
不适用 | read_only_udm.security_result.rule_labels.key | 根据可用字段,设置为“firewall_domain_list_id”“resolver_endpoint”或“resolver_network_interface”。 |
不适用 | read_only_udm.security_result.action_details | 如果“firewall_rule_action”不是“ALLOW”或“BLOCK”,则设置为“firewall_rule_action”的值。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。