Mengumpulkan log aliran traffic AWS VPC Transit Gateway

Didukung di:

Dokumen ini menjelaskan cara menyerap log alur AWS VPC Transit Gateway ke Google Security Operations menggunakan CloudWatch Logs dan Kinesis Data Firehose. Log aliran Transit Gateway merekam metadata traffic jaringan yang mendetail di seluruh lampiran Transit Gateway Anda. Integrasi ini mengalirkan log tersebut ke Google SecOps untuk pemantauan dan analisis keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS

Mengaktifkan log alur Transit Gateway (ke log CloudWatch)

  1. Login ke Konsol AWS
  2. Buka VPC > Transit gateways (atau Transit gateway attachments).
  3. Pilih resource target.
  4. Klik Tindakan > Buat log alur.
  5. Berikan detail konfigurasi berikut:
    • Tujuan: Pilih Kirim ke CloudWatch Logs.
    • Grup log: Pilih atau buat grup log (misalnya, /aws/tgw/flowlogs).
    • Peran IAM: Pilih peran yang dapat menulis ke CloudWatch Logs.
    • Interval agregasi maksimum: Pilih 1 menit (direkomendasikan) atau 10 menit.
    • Format catatan log: Pilih Default (atau Kustom jika Anda memerlukan kolom tambahan).
  6. Klik Create flow log.

Mengonfigurasi Feed di Google SecOps untuk Menyerap Log Aliran Transit Gateway

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Pilih Amazon Data Firehose sebagai Jenis sumber.
  5. Pilih Amazon VPC Transit Gateway Flow Logs sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: Opsional n.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya > Kirim.
  9. Di Detail feed, klik Generate Secret Key dan salin Secret Key.
  10. Salin URL endpoint HTTPS feed dari Endpoint Information.
  11. Di Google Cloud console > APIs & Services > Credentials > Create credentials > API key, buat kunci API dan batasi ke Chronicle API. Salin kunci API.

Mengonfigurasi Amazon Kinesis Data Firehose (Langsung ke Google SecOps)

  1. Di AWS Console, buka Kinesis > Data Firehose > Create delivery stream.
  2. Berikan detail konfigurasi berikut:
    • Sumber: Pilih PUT langsung atau sumber lainnya.
    • Tujuan: Pilih endpoint HTTP.
    • URL endpoint HTTP: Masukkan ENDPOINT_URL?key=API_KEY (gunakan URL endpoint HTTPS Feed dan kunci API dari langkah sebelumnya).
    • Metode HTTP: Pilih POST.
    • Kunci akses: Tempelkan Kunci Rahasia yang dihasilkan di feed.
    • Petunjuk buffering: Tetapkan Ukuran buffer = 1 MiB, Interval buffer = 60 detik.
    • Kompresi: Pilih Dinonaktifkan.
    • Pencadangan S3: Pilih Dinonaktifkan.
    • Biarkan setelan coba lagi dan pencatatan log sebagai default.
  3. Klik Buat aliran pengiriman. (Contoh nama: cwlogs-to-secops)

Mengonfigurasi Izin IAM dan Berlangganan Grup Log

  1. Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

  2. Masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Ganti <region> dan <account-id> dengan ID akun dan Region AWS Anda.

  3. Beri nama kebijakan CWLtoFirehoseWrite, lalu klik Buat kebijakan.

  4. Buka IAM > Roles.

  5. Klik Buat peran.

  6. Pilih Kebijakan kepercayaan kustom dan masukkan hal berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Lampirkan kebijakan CWLtoFirehoseWrite ke peran.

  8. Beri nama peran CWLtoFirehoseRole, lalu klik Buat peran.

  9. Buka CloudWatch > Logs > Log groups.

  10. Pilih grup log Transit Gateway yang Anda aktifkan sebelumnya.

  11. Buka tab Filter langganan, lalu klik Buat.

  12. Pilih Create Amazon Kinesis Data Firehose subscription filter.

  13. Konfigurasi hal berikut ini:

    • Tujuan: Aliran pengiriman cwlogs-to-secops.
    • Memberikan izin: Peran CWLtoFirehoseRole.
    • Nama filter: Masukkan all-events.
    • Pola filter: Biarkan kosong untuk mengirim semua peristiwa.

  14. Klik Mulai streaming.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.