收集 AWS Route 53 記錄

支援的國家/地區:

本文說明如何設定 AWS CloudTrail,將 AWS Route 53 DNS 記錄檔儲存在 S3 儲存空間,並將記錄檔從 S3 擷取至 Google Security Operations。Amazon Route 53 提供 DNS 查詢記錄,並可透過健康狀態檢查監控資源。Route 53 與 AWS CloudTrail 整合,這項服務會記錄使用者、角色或 AWS 服務在 Route 53 中執行的動作。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

如何設定 AWS CloudTrail 和 Route 53

  1. 登入 AWS 控制台。
  2. 搜尋 Cloudtrail
  3. 如果沒有追蹤記錄,請按一下「建立追蹤記錄」
  1. 提供「Trail name」(追蹤名稱)
  2. 選取「Create new S3 bucket」(建立新的 S3 儲存貯體) (您也可以選擇使用現有的 S3 儲存貯體)。
  3. 提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰
  4. 其他設定保留預設值,然後點選「下一步」
  5. 選取「事件類型」,並確認已選取「管理事件」 (這些事件會包含 Route 53 API 呼叫)。
  6. 點選「下一步」
  7. 在「檢閱並建立」中檢查設定。
  8. 按一下「建立路徑」
  9. 在 AWS 控制台中,搜尋 S3
  10. 按一下新建立的記錄檔值區,然後選取「AWSLogs」AWSLogs資料夾。
  11. 按一下「複製 S3 URI」並儲存。

設定 AWS IAM 使用者

  1. 在 AWS 控制台中,搜尋「IAM」
  2. 按一下「Users」(使用者)
  3. 按一下「新增使用者」
  4. 為使用者命名 (例如 chronicle-feed-user)。
  5. 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
  6. 點選 [Next: Permissions] (下一步:權限)。
  7. 選取「直接附加現有政策」
  8. 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」
  1. 按一下「下一步:代碼」
  2. 選用:視需要新增任何標記。
  3. 按一下 [下一步:檢閱]
  4. 檢查設定,然後按一下「建立使用者」
  5. 複製所建立使用者的存取金鑰 ID 和存取密鑰。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS Route 53 DNS 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出 AWS Route 53 DNS 記錄類型。
  3. 選用:如果您使用 Ingestion API 直接擷取記錄,請將 AWS Route 53 指定為記錄類型。
  4. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。
  5. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
account_id read_only_udm.principal.resource.product_object_id 與查詢相關聯的 AWS 帳戶 ID。
firewall_domain_list_id read_only_udm.security_result.rule_labels.value 網域所屬網域清單的 ID。
firewall_rule_action read_only_udm.security_result.action 與查詢相符的防火牆規則所採取的動作。可能的值為「ALLOW」、「BLOCK」或「UNKNOWN_ACTION」(如果系統無法辨識動作)。
firewall_rule_group_id read_only_udm.security_result.rule_id 符合查詢的防火牆規則群組 ID。
logEvents{}.id read_only_udm.principal.resource.product_object_id 記錄事件的專屬 ID。如果沒有「account_id」,系統會改用這個 ID。
logEvents{}.message 系統會根據這個欄位的格式,將其剖析為其他 UDM 欄位。
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds 記錄 DNS 查詢的時間。
messageType 這個欄位用於決定記錄訊息的結構。
擁有者 read_only_udm.principal.user.userid 記錄擁有者的 AWS 帳戶 ID。
query_class read_only_udm.network.dns.questions.class DNS 查詢的類別。
query_name read_only_udm.network.dns.questions.name 查詢的網域名稱。
query_timestamp read_only_udm.metadata.event_timestamp.seconds 發出 DNS 查詢的時間。
query_type read_only_udm.metadata.product_event_type DNS 查詢類型。
rcode read_only_udm.metadata.description DNS 查詢的回應代碼。
區域 read_only_udm.principal.location.name 查詢的來源 AWS 區域。
srcaddr read_only_udm.principal.ip 發出 DNS 查詢的用戶端 IP 位址。
srcids.instance read_only_udm.principal.hostname 發出 DNS 查詢的用戶端執行個體 ID。
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value 處理查詢的解析器端點 ID。
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value 處理查詢的解析器網路介面 ID。
srcport read_only_udm.principal.port 發出 DNS 查詢的用戶端通訊埠編號。
transport read_only_udm.network.ip_protocol 用於 DNS 查詢的傳輸通訊協定。
version read_only_udm.metadata.product_version Route 53 Resolver 查詢記錄格式的版本。
不適用 read_only_udm.metadata.event_type 硬式編碼為「NETWORK_DNS」。
不適用 read_only_udm.metadata.product_name 硬式編碼為「AWS Route 53」。
不適用 read_only_udm.metadata.vendor_name 硬式編碼為「AMAZON」。
不適用 read_only_udm.principal.cloud.environment 硬式編碼為「AMAZON_WEB_SERVICES」。
不適用 read_only_udm.network.application_protocol 硬式編碼為「DNS」。
不適用 read_only_udm.network.dns.response_code 使用查閱表從「rcode」欄位對應。
不適用 read_only_udm.network.dns.questions.type 使用查閱表從「query_type」欄位對應。
不適用 read_only_udm.metadata.product_deployment_id 使用 grok 模式從「logevent.message_data」欄位擷取。
不適用 read_only_udm.network.dns.authority.name 使用 grok 模式從「logevent.message_data」欄位擷取。
不適用 read_only_udm.security_result.rule_labels.key 視可用欄位而定,設定為「firewall_domain_list_id」、「resolver_endpoint」或「resolver_network_interface」。
不適用 read_only_udm.security_result.action_details 如果不是「ALLOW」或「BLOCK」,請設為「firewall_rule_action」的值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。