AWS VPC Transit Gateway-Flusslogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS VPC Transit Gateway-Flusslogs mit CloudWatch Logs und Kinesis Data Firehose in Google Security Operations aufnehmen. In Transit Gateway-Flusslogs werden detaillierte Metadaten zum Netzwerk-Traffic für Ihre Transit Gateway-Anhänge erfasst. Durch diese Integration werden diese Logs zur Überwachung und Sicherheitsanalyse in Google SecOps gestreamt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS

Transit Gateway-Flusslogs (an CloudWatch-Logs) aktivieren

  1. Melden Sie sich in der AWS-Konsole an.
  2. Wechseln Sie zu VPC > Transit-Gateways (oder Transit-Gateway-Anhänge).
  3. Wählen Sie die Zielressourcen aus.
  4. Klicken Sie auf Aktionen > Flow-Log erstellen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Ziel: Wählen Sie An CloudWatch Logs senden aus.
    • Loggruppe: Wählen Sie eine Loggruppe aus oder erstellen Sie eine (z. B. /aws/tgw/flowlogs).
    • IAM-Rolle: Wählen Sie eine Rolle aus, die in CloudWatch Logs schreiben kann.
    • Maximales Aggregationsintervall: Wählen Sie 1 Minute (empfohlen) oder 10 Minuten aus.
    • Format für Logeinträge: Wählen Sie Standard aus (oder Benutzerdefiniert, wenn Sie zusätzliche Felder benötigen).
  6. Klicken Sie auf Flow-Log erstellen.

Feed in Google SecOps konfigurieren, um Transit Gateway-Flusslogs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feedname AWS Transit Gateway Flow Logs — CloudWatch via Firehose ein.
  4. Wählen Sie Amazon Data Firehose als Quelltyp aus.
  5. Wählen Sie Amazon VPC Transit Gateway Flow Logs als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Optional n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicke auf Weiter> Senden.
  9. Klicken Sie im Feed Details auf Secret Key generieren und kopieren Sie den Secret Key.
  10. Kopieren Sie die Feed HTTPS endpoint URL (HTTPS-Endpunkt-URL für Feed) aus Endpoint Information (Endpunktinformationen).
  11. Erstellen Sie in der Google Cloud Console > APIs & Dienste > Anmeldedaten > Anmeldedaten erstellen > API-Schlüssel einen API-Schlüssel und beschränken Sie ihn auf die Chronicle API. Kopieren Sie den API-Schlüssel.

Amazon Kinesis Data Firehose konfigurieren (direkt zu Google SecOps)

  1. Rufen Sie in der AWS Console Kinesis > Data Firehose > Create delivery stream auf.
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Quelle: Wählen Sie Direkter PUT oder andere Quellen aus.
    • Ziel: Wählen Sie HTTP-Endpunkt aus.
    • HTTP-Endpunkt-URL: Geben Sie ENDPOINT_URL?key=API_KEY ein (verwenden Sie die HTTPS-Endpunkt-URL des Feeds und den API-Schlüssel aus dem vorherigen Schritt).
    • HTTP-Methode: Wählen Sie POST aus.
    • Zugriffsschlüssel: Fügen Sie den im Feed generierten geheimen Schlüssel ein.
    • Pufferungshinweise: Legen Sie Puffergröße = 1 MiB und Pufferintervall = 60 Sekunden fest.
    • Komprimierung: Wählen Sie Deaktiviert aus.
    • S3-Sicherung: Wählen Sie Deaktiviert aus.
    • Behalten Sie die Standardeinstellungen für retry und logging bei.
  3. Klicken Sie auf Lieferstream erstellen. (Beispielname: cwlogs-to-secops)

IAM-Berechtigungen konfigurieren und die Loggruppe abonnieren

  1. Rufen Sie in der AWS-Konsole IAM > Richtlinien > Richtlinie erstellen > JSON-Tab auf.

  2. Geben Sie die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Ersetzen Sie <region> und <account-id> durch Ihre AWS-Region und Konto-ID.

  3. Geben Sie der Richtlinie den Namen CWLtoFirehoseWrite und klicken Sie auf Richtlinie erstellen.

  4. Rufen Sie IAM > Rollen auf.

  5. Klicken Sie auf Rolle erstellen.

  6. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus und geben Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Hängen Sie die Richtlinie CWLtoFirehoseWrite an die Rolle an.

  8. Geben Sie der Rolle den Namen CWLtoFirehoseRole und klicken Sie auf Rolle erstellen.

  9. Rufen Sie CloudWatch > Logs > Log groups auf.

  10. Wählen Sie die Transit Gateway-Loggruppe aus, die Sie zuvor aktiviert haben.

  11. Öffnen Sie den Tab Abo-Filter und klicken Sie auf Erstellen.

  12. Wählen Sie Amazon Kinesis Data Firehose-Abo-Filter erstellen aus.

  13. Nehmen Sie folgende Einstellungen vor:

    • Ziel: Auslieferungsstream cwlogs-to-secops.
    • Berechtigung erteilen: Rolle CWLtoFirehoseRole.
    • Filtername: Geben Sie all-events ein.
    • Filtermuster: Lassen Sie das Feld leer, um alle Ereignisse zu senden.

  14. Klicken Sie auf Streaming starten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten