AWS-VPN-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie AWS-VPN-Logs in Google Security Operations aufnehmen. AWS VPN bietet eine sichere Verbindung zwischen Ihrem lokalen Netzwerk und Ihrer Amazon Virtual Private Cloud (VPC). Wenn Sie VPN-Logs an Google SecOps weiterleiten, können Sie VPN-Verbindungsaktivitäten analysieren, potenzielle Sicherheitsrisiken erkennen und Traffic-Muster beobachten.
Vorbereitung
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für AWS.
AWS IAM und S3 konfigurieren
- Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
- Speichern Sie den Namen und die Region des Buckets für später.
- Erstellen Sie einen Nutzer gemäß der Anleitung IAM-Nutzer erstellen.
- Wählen Sie den erstellten Nutzer aus.
- Wählen Sie den Tab Sicherheitsanmeldedaten aus.
- Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
- Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
- Klicken Sie auf Weiter.
- Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
- Klicken Sie auf Zugriffsschlüssel erstellen.
- Klicken Sie auf CSV-Datei herunterladen, um den Zugriffsschlüssel und den Secret Access Key zur späteren Verwendung zu speichern.
- Klicken Sie auf Fertig.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Richtlinien direkt anhängen aus.
- Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Berechtigungen hinzufügen.
CloudTrail für AWS-VPN-Logs konfigurieren
- Melden Sie sich bei der AWS Management Console an.
- Geben Sie in die Suchleiste CloudTrail ein und wählen Sie den Dienst aus der Liste aus.
- Klicken Sie auf Weg erstellen.
- Geben Sie einen Trail-Namen an, z. B. VPN-Aktivitäts-Trail.
- Klicken Sie auf das Kästchen Für alle Konten in meiner Organisation aktivieren.
- Geben Sie den zuvor erstellten S3-Bucket-URI ein (das Format sollte
s3://your-log-bucket-name/
sein) oder erstellen Sie einen neuen S3-Bucket. - Wenn die serverseitige Verschlüsselung mit AWS KMS aktiviert ist, geben Sie einen Namen für den AWS KMS-Alias an oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
- Die anderen Einstellungen können Sie beibehalten.
- Klicken Sie auf Weiter.
- Wählen Sie unter Ereignistypen die Optionen Verwaltungsereignisse bis Alle sowie Datenereignisse bis Netzwerk- und VPN-Dienste aus.
- Klicken Sie auf Weiter.
- Prüfen Sie die Einstellungen unter Überprüfen und erstellen.
Klicken Sie auf Weg erstellen.
Optional: Wenn Sie während der CloudTrail-Konfiguration einen neuen Bucket erstellt haben, fahren Sie mit dem folgenden Verfahren fort:
- Rufen Sie S3 auf.
- Suchen Sie den neu erstellten Log-Bucket und wählen Sie ihn aus.
- Wählen Sie den Ordner AWSLogs aus.
- Klicken Sie auf S3-URI kopieren und speichern Sie die URI.
AWS-Client-VPN-Protokollierung konfigurieren
- Rufen Sie die AWS Client VPN-Konsole auf.
- Wählen Sie unter Client-VPN-Endpunkte den gewünschten Endpunkt aus.
- Klicken Sie im Bereich Logging auf Logging aktivieren und geben Sie eine Amazon CloudWatch-Loggruppe an, an die VPN-Verbindungsprotokolle gesendet werden sollen.
Feed in Google SecOps für die Aufnahme von AWS-VPN-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AWS VPN-Logs.
- Wählen Sie als Quelltyp Amazon S3 aus.
- Wählen Sie als Protokolltyp AWS VPN aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: der Bucket-URI.
s3://your-log-bucket-name/
- Ersetzen Sie
your-log-bucket-name
durch den tatsächlichen Namen des Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Asset-Namespace: der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
Änderungen
2024-09-19
Optimierung:
connection-attempt-status
wurdesecurity_result.action
zugeordnet.
2024-07-19
- Neu erstellter Parser.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten