Collecter les journaux de flux de la passerelle de transit VPC AWS

Compatible avec :

Ce document explique comment ingérer les journaux de flux AWS VPC Transit Gateway dans Google Security Operations à l'aide de CloudWatch Logs et de Kinesis Data Firehose. Les journaux de flux de passerelle de transit capturent des métadonnées détaillées sur le trafic réseau dans vos pièces jointes de passerelle de transit. Cette intégration diffuse ces journaux dans Google SecOps pour la surveillance et l'analyse de la sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à AWS

Activer les journaux de flux Transit Gateway (dans les journaux CloudWatch)

  1. Connectez-vous à la console AWS.
  2. Accédez à VPC > Passerelles de transit (ou Associations de passerelles de transit).
  3. Sélectionnez la ou les ressources cibles.
  4. Cliquez sur Actions> Créer un journal de flux.
  5. Fournissez les informations de configuration suivantes :
    • Destination : sélectionnez Send to CloudWatch Logs (Envoyer à CloudWatch Logs).
    • Groupe de journaux : choisissez ou créez un groupe de journaux (par exemple, /aws/tgw/flowlogs).
    • Rôle IAM : sélectionnez un rôle pouvant écrire dans CloudWatch Logs.
    • Intervalle d'agrégation maximal : sélectionnez 1 minute (recommandé) ou 10 minutes.
    • Format des enregistrements du journal : sélectionnez Par défaut (ou Personnalisé si vous avez besoin de champs supplémentaires).
  6. Cliquez sur Créer un journal de flux.

Configurer un flux dans Google SecOps pour ingérer les journaux de flux Transit Gateway

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Sélectionnez Amazon Data Firehose comme type de source.
  5. Sélectionnez Journaux de flux Amazon VPC Transit Gateway comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Délimiteur de fractionnement : facultatif n.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant > Envoyer.
  9. Dans les Détails du flux, cliquez sur Générer une clé secrète et copiez la clé secrète.
  10. Copiez l'URL du point de terminaison HTTPS du flux depuis Informations sur le point de terminaison.
  11. Dans la consoleGoogle Cloud > API et services > Identifiants > Créer des identifiants > Clé API, créez une clé API et limitez-la à l'API Chronicle. Copiez la clé API.

Configurer Amazon Kinesis Data Firehose (directement dans Google SecOps)

  1. Dans la console AWS, accédez à Kinesis > Data Firehose > Create delivery stream.
  2. Fournissez les informations de configuration suivantes :
    • Source : sélectionnez PUT direct ou autres sources.
    • Destination : sélectionnez Point de terminaison HTTP.
    • URL du point de terminaison HTTP : saisissez ENDPOINT_URL?key=API_KEY (utilisez l'URL du point de terminaison HTTPS du flux et la clé API de l'étape précédente).
    • Méthode HTTP : sélectionnez POST.
    • Clé d'accès : collez la clé secrète générée dans le flux.
    • Conseils de mise en mémoire tampon : définissez Taille de la mémoire tampon sur 1 Mio et Intervalle de la mémoire tampon sur 60 secondes.
    • Compression : sélectionnez Désactivée.
    • Sauvegarde S3 : sélectionnez Désactivée.
    • Conservez les paramètres retry (réessayer) et logging (journalisation) par défaut.
  3. Cliquez sur Créer un flux de diffusion. (Nom de l'exemple : cwlogs-to-secops)

Configurer les autorisations IAM et s'abonner au groupe de journaux

  1. Dans la console AWS, accédez à IAM > Stratégies > Créer une stratégie > Onglet JSON.

  2. Saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Remplacez <region> et <account-id> par votre région AWS et votre ID de compte.

  3. Nommez la règle CWLtoFirehoseWrite, puis cliquez sur Créer une règle.

  4. Accédez à IAM > Rôles.

  5. Cliquez sur Créer un rôle.

  6. Sélectionnez Stratégie d'approbation personnalisée, puis saisissez les informations suivantes :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Associez la stratégie CWLtoFirehoseWrite au rôle.

  8. Nommez le rôle CWLtoFirehoseRole, puis cliquez sur Créer un rôle.

  9. Accédez à CloudWatch > Logs > Log groups (CloudWatch > Journaux > Groupes de journaux).

  10. Sélectionnez le groupe de journaux Transit Gateway que vous avez activé précédemment.

  11. Ouvrez l'onglet Filtres d'abonnement, puis cliquez sur Créer.

  12. Sélectionnez Créer un filtre d'abonnement Amazon Kinesis Data Firehose.

  13. Ensuite, procédez à la configuration des éléments suivants, comme indiqué :

    • Destination : flux de diffusion cwlogs-to-secops.
    • Accorder l'autorisation : rôle CWLtoFirehoseRole.
    • Nom du filtre : saisissez all-events.
    • Modèle de filtre : laissez ce champ vide pour envoyer tous les événements.

  14. Cliquez sur Démarrer la diffusion.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.