Coletar registros de fluxo do gateway de trânsito da VPC da AWS

Compatível com:

Este documento explica como ingerir registros de fluxo do AWS VPC Transit Gateway no Google Security Operations usando o CloudWatch Logs e o Kinesis Data Firehose. Os registros de fluxo do Transit Gateway capturam metadados detalhados de tráfego de rede em todos os anexos do Transit Gateway. Essa integração transmite esses registros para o Google SecOps para monitoramento e análise de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Ativar os registros de fluxo do Transit Gateway (para registros do CloudWatch)

  1. Faça login no console da AWS.
  2. Acesse VPC > Gateways de trânsito ou Anexos de gateway de trânsito.
  3. Selecione os recursos de destino.
  4. Clique em Ações > Criar registro de fluxo.
  5. Informe os seguintes detalhes de configuração:
    • Destino: selecione Enviar para os registros do CloudWatch.
    • Grupo de registros: escolha ou crie um grupo de registros (por exemplo, /aws/tgw/flowlogs).
    • Papel do IAM: selecione um papel que possa gravar nos registros do CloudWatch.
    • Intervalo máximo de agregação: escolha 1 minuto (recomendado) ou 10 minutos.
    • Formato do registro de log: selecione Padrão ou Personalizado se precisar de mais campos.
  6. Clique em Criar registro de fluxo.

Configurar um feed no Google SecOps para ingerir registros de fluxo do Transit Gateway

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Selecione Amazon Data Firehose como o Tipo de origem.
  5. Selecione Registros de fluxo do gateway de trânsito da Amazon VPC como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: n opcional.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima > Enviar.
  9. Em Detalhes do feed, clique em Gerar chave secreta e copie a Chave secreta.
  10. Copie o URL do endpoint HTTPS do feed em Informações do endpoint.
  11. Em Google Cloud console > APIs e serviços > Credenciais > Criar credenciais > Chave de API, crie uma chave de API e restrinja-a à API Chronicle. Copie a chave de API.

Configurar o Amazon Kinesis Data Firehose (direto para o Google SecOps)

  1. No console da AWS, acesse Kinesis > Data Firehose > Criar fluxo de entrega.
  2. Informe os seguintes detalhes de configuração:
    • Origem: selecione PUT direto ou outras origens.
    • Destino: escolha Endpoint HTTP.
    • URL do endpoint HTTP: insira ENDPOINT_URL?key=API_KEY (use o URL do endpoint HTTPS do feed e a chave de API da etapa anterior).
    • Método HTTP: selecione POST.
    • Chave de acesso: cole a chave secreta gerada no feed.
    • Dicas de buffer: defina Tamanho do buffer = 1 MiB e Intervalo do buffer = 60 segundos.
    • Compressão: selecione Desativada.
    • Backup do S3: selecione Desativado.
    • Deixe as configurações de retry e logging como padrão.
  3. Clique em Criar fluxo de entrega. Exemplo de nome: cwlogs-to-secops

Configurar permissões do IAM e assinar o grupo de registros

  1. No console da AWS, acesse IAM > Políticas > Criar política > guia JSON.

  2. Insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Substitua <region> e <account-id> pela sua região da AWS e ID da conta.

  3. Nomeie a política como CWLtoFirehoseWrite e clique em Criar política.

  4. Acesse IAM > Papéis.

  5. Clique em Criar papel.

  6. Selecione Política de confiança personalizada e insira o seguinte:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Anexe a política CWLtoFirehoseWrite à função.

  8. Nomeie a função como CWLtoFirehoseRole e clique em Criar função.

  9. Acesse CloudWatch > Registros > Grupos de registros.

  10. Selecione o grupo de registros do Transit Gateway que você ativou antes.

  11. Abra a guia Filtros de assinatura e clique em Criar.

  12. Escolha Criar filtro de assinatura do Amazon Kinesis Data Firehose.

  13. Faça as configurações a seguir:

    • Destino: fluxo de transmissão de entrega cwlogs-to-secops.
    • Conceder permissão: papel CWLtoFirehoseRole.
    • Nome do filtro: insira all-events.
    • Padrão de filtro: deixe em branco para enviar todos os eventos.

  14. Clique em Iniciar streaming.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.