Mengumpulkan log VPN AWS

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS VPN ke Google Security Operations. AWS VPN menyediakan koneksi aman antara jaringan lokal dan Amazon Virtual Private Cloud (VPC) Anda. Dengan meneruskan log VPN ke Google SecOps, Anda dapat menganalisis aktivitas koneksi VPN, mendeteksi potensi risiko keamanan, dan memantau pola traffic.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS.

Mengonfigurasi AWS IAM dan S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
  2. Simpan Nama dan Region bucket untuk digunakan nanti.
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi CloudTrail untuk Logging VPN AWS

  1. Login ke AWS Management Console.
  2. Di kotak penelusuran, ketik dan pilih CloudTrail dari daftar layanan.
  3. Klik Buat jalur.
  4. Berikan Nama jalur; misalnya, VPN-Activity-Trail.
  5. Centang kotak Aktifkan untuk semua akun di organisasi saya.
  6. Ketik URI bucket S3 yang dibuat sebelumnya (formatnya harus: s3://your-log-bucket-name/), atau buat bucket S3 baru.
  7. Jika SSE-KMS diaktifkan, berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
  8. Anda dapat membiarkan setelan lainnya tetap default.
  9. Klik Berikutnya.
  10. Pilih Peristiwa pengelolaan ke Semua dan Peristiwa data ke Layanan jaringan dan VPN di bagian Jenis Peristiwa.
  11. Klik Berikutnya.
  12. Tinjau setelan di Tinjau dan buat.

  13. Klik Buat jalur.

  14. Opsional: Jika Anda membuat bucket baru selama konfigurasi CloudTrail, lanjutkan dengan proses berikut:

    1. Buka S3.
    2. Identifikasi dan pilih bucket log yang baru dibuat.
    3. Pilih folder AWSLogs.
    4. Klik Salin URI S3 dan simpan.

Mengonfigurasi logging AWS Client VPN

  1. Buka konsol AWS Client VPN.
  2. Di bagian Client VPN Endpoints, pilih endpoint yang diperlukan.
  3. Di bagian Logging, klik enable logging dan tentukan Amazon CloudWatch Log group tempat log koneksi VPN akan dikirim.

Mengonfigurasi feed di Google SecOps untuk menyerap log VPN AWS

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed; misalnya, AWS VPN Logs.
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih AWS VPN sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama bucket yang sebenarnya.
    • URI adalah: pilih Direktori atau Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket S3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Perubahan

2024-09-19

Peningkatan:

  • Memetakan connection-attempt-status ke security_result.action.

2024-07-19

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.