Recopila registros de VPN de AWS

Compatible con:

En este documento, se explica cómo transferir registros de VPN de AWS a Google Security Operations. La VPN de AWS proporciona una conexión segura entre tu red local y tu nube privada virtual (VPC) de Amazon. Si reenvías los registros de la VPN a las SecOps de Google, podrás analizar las actividades de conexión de VPN, detectar posibles riesgos de seguridad y supervisar los patrones de tráfico.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Configura IAM y S3 de AWS

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket.
  2. Guarda el Nombre y la Región del bucket para usarlos más adelante.
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Cómo configurar CloudTrail para el registro de VPN de AWS

  1. Accede a la consola de administración de AWS.
  2. En la barra de búsqueda, escribe y selecciona CloudTrail en la lista de servicios.
  3. Haz clic en Crear ruta.
  4. Proporciona un nombre de registro de auditoría, por ejemplo, VPN-Activity-Trail.
  5. Selecciona la casilla de verificación Habilitar para todas las cuentas de mi organización.
  6. Escribe el URI del bucket de S3 que creaste antes (el formato debe ser s3://your-log-bucket-name/) o crea un bucket de S3 nuevo.
  7. Si la SSE-KMS está habilitada, proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
  8. Puedes dejar el resto de la configuración con sus valores predeterminados.
  9. Haz clic en Siguiente.
  10. En Tipos de eventos, selecciona Todos en Eventos de administración y Servicios de VPN y redes en Eventos de datos.
  11. Haz clic en Siguiente.
  12. Revisa la configuración en Revisar y crear.

  13. Haz clic en Crear ruta.

  14. Opcional: Si creaste un bucket nuevo durante la configuración de CloudTrail, continúa con el siguiente proceso:

    1. Ve a S3.
    2. Identifica y selecciona el bucket de registros que acabas de crear.
    3. Selecciona la carpeta AWSLogs.
    4. Haz clic en Copiar URI de S3 y guárdala.

Cómo configurar el registro de la VPN de cliente de AWS

  1. Ve a la consola de AWS Client VPN.
  2. En Extremos de VPN de cliente, selecciona el extremo requerido.
  3. En la sección Logging, haz clic en enable logging y especifica un grupo de registros de Amazon CloudWatch al que se enviarán los registros de conexión de VPN.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds > Agregar un feed nuevo
  • Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de VPN de AWS

  1. Haz clic en el paquete Amazon Cloud Platform.
  2. Ubica el tipo de registro AWS VPN.

  3. Especifica los valores en los siguientes campos.

    • Tipo de fuente: Amazon SQS V2
    • Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.

    • Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  4. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.