Recoger registros de VPN de AWS

Disponible en:

En este documento se explica cómo ingerir registros de VPN de AWS en Google Security Operations. AWS VPN proporciona una conexión segura entre tu red on-premise y tu Amazon Virtual Private Cloud (VPC). Si reenvías los registros de VPN a Google SecOps, puedes analizar las actividades de conexión VPN, detectar posibles riesgos de seguridad y monitorizar los patrones de tráfico.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configurar AWS IAM y S3

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Cómo configurar CloudTrail para el registro de VPN de AWS

  1. Inicia sesión en la consola de administración de AWS.
  2. En la barra de búsqueda, escriba y seleccione CloudTrail en la lista de servicios.
  3. Haz clic en Crear recorrido.
  4. Indica un nombre de registro; por ejemplo, Registro-de-actividad-de-VPN.
  5. Selecciona la casilla Habilitar en todas las cuentas de mi organización.
  6. Escribe el URI del segmento de S3 que has creado antes (el formato debe ser s3://your-log-bucket-name/) o crea un segmento de S3.
  7. Si SSE-KMS está habilitado, proporciona un nombre para el alias de KMS de AWS o elige una clave de KMS de AWS.
  8. Puedes dejar el resto de los ajustes como predeterminados.
  9. Haz clic en Siguiente.
  10. En Tipos de eventos, selecciona Todos en Eventos de gestión y Servicios de redes y VPN en Eventos de datos.
  11. Haz clic en Siguiente.
  12. Revisa los ajustes en Revisar y crear.

  13. Haz clic en Crear recorrido.

  14. Opcional: Si has creado un nuevo bucket durante la configuración de CloudTrail, sigue estos pasos:

    1. Ve a S3.
    2. Identifica y selecciona el segmento de registro que acabas de crear.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdalo.

Cómo configurar el registro de AWS Client VPN

  1. Ve a la consola AWS Client VPN.
  2. En Puntos de conexión de VPN de cliente, selecciona el endpoint que necesites.
  3. En la sección Logging (Registro), haga clic en enable logging (habilitar registro) y especifique un grupo de registros de Amazon CloudWatch al que se enviarán los registros de conexión VPN.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de VPN de AWS

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Busca el tipo de registro VPN de AWS.

  3. Especifique los valores en los campos siguientes.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
    • URI de S3: el URI del segmento.
      • s3://your-log-bucket-name/
        • Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  4. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.