Recoger registros de flujo de AWS VPC Transit Gateway

Disponible en:

En este documento se explica cómo ingerir registros de flujo de AWS VPC Transit Gateway en Google Security Operations mediante CloudWatch Logs y Kinesis Data Firehose. Los registros de flujo de Transit Gateway registran metadatos detallados del tráfico de red en todas las conexiones de Transit Gateway. Esta integración transmite estos registros a Google SecOps para monitorizar y analizar la seguridad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Habilitar los registros de flujo de Transit Gateway (en los registros de CloudWatch)

  1. Inicia sesión en la consola de AWS.
  2. Ve a VPC > Pasarelas de tránsito (o Adjuntos de pasarela de tránsito).
  3. Selecciona los recursos de destino.
  4. Haga clic en Acciones > Crear registro de flujo.
  5. Proporcione los siguientes detalles de configuración:
    • Destino: selecciona Enviar a CloudWatch Logs.
    • Grupo de registros: elige o crea un grupo de registros (por ejemplo, /aws/tgw/flowlogs).
    • Rol de gestión de identidades y accesos: selecciona un rol que pueda escribir en CloudWatch Logs.
    • Intervalo de agregación máximo: elige 1 minuto (opción recomendada) o 10 minutos.
    • Formato de registro de registro: selecciona Predeterminado (o Personalizado si necesitas campos adicionales).
  6. Haga clic en Crear registro de flujo.

Configurar un feed en Google SecOps para ingerir registros de flujo de Transit Gateway

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Añadir nuevo feed.
  3. En el campo Nombre del feed, introduce AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Seleccione Amazon Data Firehose como Tipo de fuente.
  5. Seleccione Registros de flujo de la transit gateway de VPC de Amazon como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • Delimitador de división: n (opcional).
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  8. Haz clic en Siguiente > Enviar.
  9. En la sección Detalles de la fuente, haga clic en Generar clave secreta y copie la Clave secreta.
  10. Copia la URL del endpoint HTTPS del feed de Información del endpoint.
  11. En la Google Cloud consola > APIs y servicios > Credenciales > Crear credenciales > Clave de API, crea una clave de API y restringe su uso a la API de Chronicle. Copia la clave de API.

Configurar Amazon Kinesis Data Firehose (directamente en Google SecOps)

  1. En la consola de AWS, ve a Kinesis > Data Firehose > Create delivery stream.
  2. Proporcione los siguientes detalles de configuración:
    • Fuente: seleccione PUT directo u otras fuentes.
    • Destino: elige Endpoint HTTP.
    • URL del endpoint HTTP: introduce ENDPOINT_URL?key=API_KEY (usa la URL del endpoint HTTPS del feed y la clave de API del paso anterior).
    • Método HTTP: selecciona POST.
    • Clave de acceso: pega la clave secreta generada en el feed.
    • Sugerencias para el almacenamiento en búfer: define Tamaño del búfer = 1 MiB y Intervalo del búfer = 60 segundos.
    • Compresión: selecciona Inhabilitada.
    • Copia de seguridad de S3: selecciona Inhabilitado.
    • Deja la configuración de reintentos y registro como predeterminada.
  3. Haga clic en Crear flujo de entrega. (Nombre de ejemplo: cwlogs-to-secops)

Configurar permisos de gestión de identidades y accesos y suscribir el grupo de registros

  1. En la consola de AWS, ve a IAM > Policies > Create policy > pestaña JSON.

  2. Introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Sustituye <region> y <account-id> por tu región de AWS y tu ID de cuenta.

  3. Ponle un nombre a la política CWLtoFirehoseWrite y haz clic en Crear política.

  4. Ve a IAM > Roles.

  5. Haz clic en Crear rol.

  6. Selecciona Política de confianza personalizada e introduce lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Asigna la política CWLtoFirehoseWrite al rol.

  8. Dale el nombre CWLtoFirehoseRole al rol y haz clic en Crear rol.

  9. Ve a CloudWatch > Registros > Grupos de registros.

  10. Seleccione el grupo de registros de Transit Gateway que ha habilitado anteriormente.

  11. Abre la pestaña Filtros de suscripción y haz clic en Crear.

  12. Elige Create Amazon Kinesis Data Firehose subscription filter (Crear filtro de suscripción de Amazon Kinesis Data Firehose).

  13. Configure lo siguiente:

    • Destino: flujo de entrega cwlogs-to-secops.
    • Conceder permiso: rol CWLtoFirehoseRole.
    • Nombre del filtro: escribe all-events.
    • Patrón de filtro: déjelo vacío para enviar todos los eventos.

  14. Haz clic en Iniciar emisión.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.