收集 AWS Route 53 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 AWS CloudTrail,將 AWS Route 53 DNS 記錄檔儲存在 S3 儲存空間,並將記錄檔從 S3 擷取至 Google Security Operations。Amazon Route 53 提供 DNS 查詢記錄,並可透過健康狀態檢查監控資源。Route 53 與 AWS CloudTrail 整合,這項服務會記錄使用者、角色或 AWS 服務在 Route 53 中執行的動作。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
如何設定 AWS CloudTrail 和 Route 53
- 登入 AWS 控制台。
- 搜尋 Cloudtrail。
- 如果沒有追蹤記錄,請按一下「建立追蹤記錄」。
- 提供「Trail name」(追蹤名稱)。
- 選取「Create new S3 bucket」(建立新的 S3 儲存貯體) (您也可以選擇使用現有的 S3 儲存貯體)。
- 提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰。
- 其他設定保留預設值,然後點選「下一步」。
- 選取「事件類型」,並確認已選取「管理事件」 (這些事件會包含 Route 53 API 呼叫)。
- 點選「下一步」。
- 在「檢閱並建立」中檢查設定。
- 按一下「建立路徑」。
- 在 AWS 控制台中,搜尋 S3。
- 按一下新建立的記錄檔值區,然後選取「AWSLogs」AWSLogs資料夾。
- 按一下「複製 S3 URI」並儲存。
設定 AWS IAM 使用者
- 在 AWS 控制台中,搜尋「IAM」。
- 按一下「Users」(使用者)。
- 按一下「新增使用者」。
- 為使用者命名 (例如 chronicle-feed-user)。
- 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
- 點選 [Next: Permissions] (下一步:權限)。
- 選取「直接附加現有政策」。
- 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」。
- 按一下「下一步:代碼」。
- 選用:視需要新增任何標記。
- 按一下 [下一步:檢閱]。
- 檢查設定,然後按一下「建立使用者」。
- 複製所建立使用者的存取金鑰 ID 和存取密鑰。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM 設定」>「動態饋給」>「新增」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 AWS Route 53 DNS 動態饋給
- 按一下「Amazon Cloud Platform」套件。
- 找出 AWS Route 53 DNS 記錄類型。
- 選用:如果您使用 Ingestion API 直接擷取記錄,請將 AWS Route 53 指定為記錄類型。
在下列欄位中指定值。
- 來源類型:Amazon SQS V2
- 佇列名稱:要從中讀取的 SQS 佇列名稱
- S3 URI:bucket URI。
s3://your-log-bucket-name/- 請將
your-log-bucket-name替換為 S3 值區的實際名稱。
- 請將
來源刪除選項:根據擷取偏好設定選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。
SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | 與查詢相關聯的 AWS 帳戶 ID。 |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | 網域所屬網域清單的 ID。 |
| firewall_rule_action | read_only_udm.security_result.action | 與查詢相符的防火牆規則所採取的動作。可能的值為「ALLOW」、「BLOCK」或「UNKNOWN_ACTION」(如果系統無法辨識動作)。 |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | 符合查詢的防火牆規則群組 ID。 |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | 記錄事件的專屬 ID。如果沒有「account_id」,系統會改用這個 ID。 |
| logEvents{}.message | 系統會根據這個欄位的格式,將其剖析為其他 UDM 欄位。 | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | 記錄 DNS 查詢的時間。 |
| messageType | 這個欄位用於決定記錄訊息的結構。 | |
| 擁有者 | read_only_udm.principal.user.userid | 記錄擁有者的 AWS 帳戶 ID。 |
| query_class | read_only_udm.network.dns.questions.class | DNS 查詢的類別。 |
| query_name | read_only_udm.network.dns.questions.name | 查詢的網域名稱。 |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | 發出 DNS 查詢的時間。 |
| query_type | read_only_udm.metadata.product_event_type | DNS 查詢類型。 |
| rcode | read_only_udm.metadata.description | DNS 查詢的回應代碼。 |
| 區域 | read_only_udm.principal.location.name | 查詢的來源 AWS 區域。 |
| srcaddr | read_only_udm.principal.ip | 發出 DNS 查詢的用戶端 IP 位址。 |
| srcids.instance | read_only_udm.principal.hostname | 發出 DNS 查詢的用戶端執行個體 ID。 |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | 處理查詢的解析器端點 ID。 |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | 處理查詢的解析器網路介面 ID。 |
| srcport | read_only_udm.principal.port | 發出 DNS 查詢的用戶端通訊埠編號。 |
| transport | read_only_udm.network.ip_protocol | 用於 DNS 查詢的傳輸通訊協定。 |
| version | read_only_udm.metadata.product_version | Route 53 Resolver 查詢記錄格式的版本。 |
| 不適用 | read_only_udm.metadata.event_type | 硬式編碼為「NETWORK_DNS」。 |
| 不適用 | read_only_udm.metadata.product_name | 硬式編碼為「AWS Route 53」。 |
| 不適用 | read_only_udm.metadata.vendor_name | 硬式編碼為「AMAZON」。 |
| 不適用 | read_only_udm.principal.cloud.environment | 硬式編碼為「AMAZON_WEB_SERVICES」。 |
| 不適用 | read_only_udm.network.application_protocol | 硬式編碼為「DNS」。 |
| 不適用 | read_only_udm.network.dns.response_code | 使用查閱表從「rcode」欄位對應。 |
| 不適用 | read_only_udm.network.dns.questions.type | 使用查閱表從「query_type」欄位對應。 |
| 不適用 | read_only_udm.metadata.product_deployment_id | 使用 grok 模式從「logevent.message_data」欄位擷取。 |
| 不適用 | read_only_udm.network.dns.authority.name | 使用 grok 模式從「logevent.message_data」欄位擷取。 |
| 不適用 | read_only_udm.security_result.rule_labels.key | 視可用欄位而定,設定為「firewall_domain_list_id」、「resolver_endpoint」或「resolver_network_interface」。 |
| 不適用 | read_only_udm.security_result.action_details | 如果不是「ALLOW」或「BLOCK」,請設為「firewall_rule_action」的值。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。