收集 AWS VPC Transit Gateway 流量記錄

支援的國家/地區:

本文說明如何使用 CloudWatch Logs 和 Kinesis Data Firehose,將 AWS VPC Transit Gateway 流程記錄擷取至 Google Security Operations。Transit Gateway 流程記錄檔會擷取 Transit Gateway 附件的詳細網路流量中繼資料。這項整合功能會將這些記錄檔串流至 Google SecOps,以進行監控和安全分析。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

啟用 Transit Gateway 流量記錄 (至 CloudWatch 記錄)

  1. 登入 AWS 主控台
  2. 前往「VPC」> Transit gateways (或「Transit gateway attachments」)。
  3. 選取目標資源。
  4. 依序點選「動作」> 建立流量記錄
  5. 提供下列設定詳細資料:
    • 目的地:選取「傳送至 CloudWatch Logs」
    • 記錄群組:選擇或建立記錄群組 (例如 /aws/tgw/flowlogs)。
    • IAM 角色:選取可寫入 CloudWatch Logs 的角色。
    • 匯總間隔上限:選擇「1 分鐘」 (建議) 或「10 分鐘」
    • 記錄格式:選取「預設」 (如需其他欄位,請選取「自訂」)。
  6. 按一下「建立流量記錄」

在 Google SecOps 中設定動態消息,擷取 Transit Gateway 流量記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入 AWS Transit Gateway Flow Logs — CloudWatch via Firehose
  4. 選取「Amazon Data Firehose」做為「來源類型」
  5. 選取「Amazon VPC Transit Gateway Flow Logs」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • 分割分隔符:選用 n
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 依序點按「下一步」>「提交」
  9. 在動態消息「詳細資料」中,按一下「產生密鑰」,然後複製「密鑰」
  10. 從「端點資訊」複製「動態消息 HTTPS 端點網址」
  11. Google Cloud 控制台 >「API 和服務」>「憑證」>「建立憑證」>「API 金鑰」中,建立 API 金鑰,並將其限制為 Chronicle API。複製 API 金鑰

設定 Amazon Kinesis Data Firehose (直接傳送至 Google SecOps)

  1. AWS 控制台中,依序前往「Kinesis」>「Data Firehose」>「Create delivery stream」
  2. 提供下列設定詳細資料:
    • 來源:選取「直接 PUT 或其他來源」
    • 目的地:選擇「HTTP 端點」
    • HTTP 端點網址:輸入 ENDPOINT_URL?key=API_KEY (使用上一個步驟中的動態消息 HTTPS 端點網址和 API 金鑰)。
    • HTTP 方法:選取「POST」
    • 存取金鑰:貼上動態饋給中產生的私密金鑰。
    • 緩衝區提示:將「緩衝區大小」設為 1 MiB,將「緩衝區間隔」設為 60 秒
    • 壓縮:選取「已停用」
    • S3 備份:選取「已停用」
    • retrylogging 設定保留為預設值。
  3. 按一下「建立傳送串流」。(範例名稱:cwlogs-to-secops)

設定 IAM 權限並訂閱記錄群組

  1. AWS 控制台中,依序前往「IAM」>「Policies」>「Create policy」>「JSON」分頁標籤

  2. 輸入下列政策:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • <region><account-id> 替換為您的 AWS 區域和帳戶 ID。

  3. 為政策命名 CWLtoFirehoseWrite,然後按一下「建立政策」

  4. 依序前往「IAM」>「角色」

  5. 按一下「建立角色」

  6. 選取「自訂信任政策」,然後輸入下列內容:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. 將政策 CWLtoFirehoseWrite 附加至角色。

  8. 為角色命名 CWLtoFirehoseRole,然後按一下「建立角色」

  9. 依序前往 CloudWatch >「Logs」(記錄) >「Log groups」(記錄群組)

  10. 選取先前啟用的 Transit Gateway 記錄檔群組

  11. 開啟「訂閱項目篩選器」分頁,然後按一下「建立」

  12. 選擇「建立 Amazon Kinesis Data Firehose 訂閱篩選器」

  13. 設定下列項目:

    • 目的地:放送串流 cwlogs-to-secops
    • 授予權限:角色 CWLtoFirehoseRole
    • 篩選條件名稱:輸入 all-events
    • 篩選器模式:留空即可傳送所有事件。

  14. 按一下「開始串流播放」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。