收集 AWS VPN 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何将 AWS VPN 日志注入到 Google Security Operations。AWS VPN 可在您的本地网络与 Amazon Virtual Private Cloud (VPC) 之间建立安全连接。通过将 VPN 日志转发到 Google SecOps,您可以分析 VPN 连接活动、检测潜在的安全风险并监控流量模式。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 AWS 的特权访问权限
配置 AWS IAM 和 S3
- 按照以下用户指南创建 Amazon S3 存储桶:创建存储桶。
- 保存存储桶名称和区域以备后用。
- 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 在访问密钥部分中,点击创建访问密钥。
- 选择第三方服务作为使用情形。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击 Download CSV file(下载 CSV 文件),保存访问密钥和不公开的访问密钥以供日后使用。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策。
- 搜索并选择 AmazonS3FullAccess 政策。
- 点击下一步。
- 点击添加权限。
如何为 AWS VPN 日志记录配置 CloudTrail
- 登录 AWS Management Console。
- 在搜索栏中,输入并从服务列表中选择 CloudTrail。
- 点击创建试验。
- 提供轨迹名称;例如,VPN-Activity-Trail。
- 选中为我组织中的所有账号启用复选框。
- 输入之前创建的 S3 存储桶 URI(格式应为:
s3://your-log-bucket-name/),或创建一个新的 S3 存储桶。 - 如果启用了 SSE-KMS,请提供 AWS KMS 别名,或选择现有的 AWS KMS 密钥。
- 您可以将其他设置保留为默认值。
- 点击下一步。
- 在事件类型下,将管理事件从所有更改为网络和 VPN 服务。
- 点击下一步。
- 在检查并创建中检查设置。
点击创建试验。
可选:如果您在 CloudTrail 配置期间创建了新存储桶,请继续执行以下流程:
- 前往 S3。
- 找到并选择新创建的日志存储桶。
- 选择 AWSLogs 文件夹。
- 点击复制 S3 URI 并保存。
如何配置 AWS Client VPN 日志记录
- 前往 AWS Client VPN 控制台。
- 在 Client VPN 端点下,选择所需的端点。
- 在 Logging 部分中,点击 enable logging,然后指定一个 Amazon CloudWatch Log group,VPN 连接日志将发送到该组。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 AWS VPN Feed
- 点击 Amazon Cloud Platform 包。
- 找到 AWS VPN 日志类型。
在以下字段中指定值。
- 来源类型:Amazon SQS V2
- 队列名称:要从中读取数据的 SQS 队列名称
- S3 URI:存储桶 URI。
s3://your-log-bucket-name/- 将
your-log-bucket-name替换为您的 S3 存储桶的实际名称。
- 将
源删除选项:根据您的提取偏好设置选择删除选项。
文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。
SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
UDM 映射表
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。