Recolha registos de fluxo do gateway de trânsito da VPC da AWS

Compatível com:

Este documento explica como carregar registos de fluxo do gateway de trânsito da VPC da AWS para o Google Security Operations através dos registos do CloudWatch e do Kinesis Data Firehose. Os registos de fluxo do Transit Gateway capturam metadados detalhados do tráfego de rede nos anexos do Transit Gateway. Esta integração transmite estes registos para o Google SecOps para monitorização e estatísticas de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Ativar registos de fluxo do gateway de trânsito (para registos do CloudWatch)

  1. Inicie sessão na consola da AWS
  2. Aceda a VPC > Transit gateways (ou Transit gateway attachments).
  3. Selecione os recursos de destino.
  4. Clique em Ações > Criar registo de fluxo.
  5. Indique os seguintes detalhes de configuração:
    • Destino: selecione Enviar para os registos do CloudWatch.
    • Grupo de registos: escolha ou crie um grupo de registos (por exemplo, /aws/tgw/flowlogs).
    • Função do IAM: selecione uma função que possa escrever nos registos do CloudWatch.
    • Intervalo de agregação máximo: escolha 1 minuto (recomendado) ou 10 minutos.
    • Formato do registo: selecione Predefinição (ou Personalizado se precisar de campos adicionais).
  6. Clique em Criar registo de fluxo.

Configure um feed no Google SecOps para carregar registos de fluxo do Transit Gateway

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Selecione Amazon Data Firehose como o Tipo de origem.
  5. Selecione Registos de fluxo do gateway de trânsito da VPC da Amazon como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: opcional n.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  8. Clique em Seguinte > Enviar.
  9. Nos Detalhes do feed, clique em Gerar chave secreta e copie a chave secreta.
  10. Copie o URL do ponto final HTTPS do feed em Informações do ponto final.
  11. Na Google Cloud consola > APIs e serviços > Credenciais > Criar credenciais > Chave da API, crie uma chave da API e restrinja-a à API Chronicle. Copie a chave da API.

Configure o Amazon Kinesis Data Firehose (diretamente para o Google SecOps)

  1. Na consola da AWS, aceda a Kinesis > Data Firehose > Criar stream de entrega.
  2. Indique os seguintes detalhes de configuração:
    • Origem: selecione Direct PUT ou outras origens.
    • Destino: escolha Ponto final HTTP.
    • URL do ponto final HTTP: introduza ENDPOINT_URL?key=API_KEY (use o URL do ponto final HTTPS do feed e a chave da API do passo anterior).
    • Método HTTP: selecione POST.
    • Chave de acesso: cole a chave secreta gerada no feed.
    • Sugestões de colocação no buffer: defina Buffer size = 1 MiB e Buffer interval = 60 segundos.
    • Compressão: selecione Desativada.
    • Cópia de segurança do S3: selecione Desativada.
    • Deixe as definições de nova tentativa e registo como predefinições.
  3. Clique em Criar stream de fornecimento. (Nome de exemplo: cwlogs-to-secops)

Configure as autorizações do IAM e subscreva o grupo de registos

  1. Na consola da AWS, aceda a IAM > Políticas > Criar política > separador JSON.

  2. Introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Substitua <region> e <account-id> pela sua região da AWS e ID da conta.

  3. Dê um nome à política CWLtoFirehoseWrite e clique em Criar política.

  4. Aceda a IAM > Funções.

  5. Clique em Criar função.

  6. Selecione Política de confiança personalizada e introduza o seguinte:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Anexe a política CWLtoFirehoseWrite à função.

  8. Dê o nome CWLtoFirehoseRole à função e clique em Criar função.

  9. Aceda a CloudWatch > Registos > Grupos de registos.

  10. Selecione o grupo de registos do Transit Gateway que ativou anteriormente.

  11. Abra o separador Filtros de subscrição e clique em Criar.

  12. Escolha Criar filtro de subscrição do Amazon Kinesis Data Firehose.

  13. Configure o seguinte:

    • Destino: stream de fornecimento cwlogs-to-secops.
    • Conceder autorização: função CWLtoFirehoseRole.
    • Nome do filtro: introduza all-events.
    • Padrão de filtro: deixe em branco para enviar todos os eventos.

  14. Clique em Iniciar streaming.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.