Collecter les journaux du VPN AWS

Compatible avec:

Ce document explique comment ingérer les journaux du VPN AWS dans Google Security Operations. AWS VPN fournit une connexion sécurisée entre votre réseau sur site et votre cloud privé virtuel (VPC) Amazon. En transmettant les journaux VPN à Google SecOps, vous pouvez analyser les activités de connexion VPN, détecter les risques de sécurité potentiels et surveiller les tendances de trafic.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS.

Configurer AWS IAM et S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour une utilisation ultérieure.
  3. Créez un utilisateur en suivant le guide de l'utilisateur Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif: ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Download CSV file (Télécharger le fichier CSV) pour enregistrer la clé d'accès et la clé d'accès secrète pour les utiliser ultérieurement.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer CloudTrail pour la journalisation AWS VPN

  1. Connectez-vous à l'AWS Management Console.
  2. Dans la barre de recherche, saisissez CloudTrail, puis sélectionnez-le dans la liste des services.
  3. Cliquez sur Créer un parcours.
  4. Indiquez un nom de trace, par exemple VPN-Activity-Trail.
  5. Cochez la case Activer pour tous les comptes de mon organisation.
  6. Saisissez l'URI du bucket S3 créé précédemment (au format s3://your-log-bucket-name/) ou créez un bucket S3.
  7. Si le chiffrement côté serveur (SSE-KMS) est activé, fournissez un nom pour l'alias AWS KMS ou choisissez une clé AWS KMS existante.
  8. Vous pouvez conserver les autres paramètres par défaut.
  9. Cliquez sur Suivant.
  10. Sous Types d'événements, sélectionnez Tous pour Événements de gestion et Services de mise en réseau et de VPN pour Événements de données.
  11. Cliquez sur Suivant.
  12. Vérifiez les paramètres dans Vérifier et créer.

  13. Cliquez sur Créer un parcours.

  14. Facultatif: Si vous avez créé un bucket lors de la configuration de CloudTrail, procédez comme suit:

    1. Accédez à S3.
    2. Identifiez et sélectionnez le bucket de journaux que vous venez de créer.
    3. Sélectionnez le dossier AWSLogs.
    4. Cliquez sur Copier l'URI S3, puis enregistrez-le.

Configurer la journalisation du VPN client AWS

  1. Accédez à la console AWS Client VPN.
  2. Sous Points de terminaison VPN client, sélectionnez le point de terminaison requis.
  3. Dans la section Journalisation, cliquez sur Activer la journalisation et spécifiez un groupe de journaux Amazon CloudWatch auquel les journaux de connexion VPN seront envoyés.

Configurer un flux dans Google SecOps pour ingérer les journaux VPN AWS

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux VPN AWS).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez VPN AWS comme Type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3: URI du bucket.
      • s3://your-log-bucket-name/
        • Remplacez your-log-bucket-name par le nom réel du bucket.
    • Un URI est: sélectionnez Répertoire ou Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.

    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Modifications

2024-09-19

Amélioration :

  • Mappage de connection-attempt-status sur security_result.action.

2024-07-19

  • Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.