Raccogliere i log della VPN AWS

Supportato in:

Questo documento spiega come importare i log VPN AWS in Google Security Operations. La VPN AWS fornisce una connessione sicura tra la rete on-premise e il Virtual Private Cloud (VPC) di Amazon. Inoltrando i log VPN a Google SecOps, puoi analizzare le attività di connessione VPN, rilevare potenziali rischi per la sicurezza e monitorare i pattern di traffico.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS.

Configura AWS IAM e S3

  1. Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket.
  2. Salva Name e Region del bucket per utilizzarli in un secondo momento.
  3. Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per utilizzarle in un secondo momento.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura CloudTrail per il logging VPN AWS

  1. Accedi alla AWS Management Console.
  2. Nella barra di ricerca, digita e seleziona CloudTrail dall'elenco dei servizi.
  3. Fai clic su Crea percorso.
  4. Fornisci un nome tracciato, ad esempio VPN-Activity-Trail.
  5. Seleziona la casella di controllo Attiva per tutti gli account della mia organizzazione.
  6. Digita l'URI del bucket S3 creato in precedenza (il formato deve essere: s3://your-log-bucket-name/) o crea un nuovo bucket S3.
  7. Se SSE-KMS è abilitato, fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
  8. Puoi lasciare invariate le altre impostazioni.
  9. Fai clic su Avanti.
  10. In Tipi di eventi, seleziona Eventi di gestione per Tutti e Eventi relativi ai dati per Servizi di rete e VPN.
  11. Fai clic su Avanti.
  12. Rivedi le impostazioni in Rivedi e crea.

  13. Fai clic su Crea percorso.

  14. (Facoltativo) Se hai creato un nuovo bucket durante la configurazione di CloudTrail, continua con la procedura seguente:

    1. Vai a S3.
    2. Identifica e seleziona il bucket di log appena creato.
    3. Seleziona la cartella AWSLogs.
    4. Fai clic su Copia URI S3 e salvalo.

Configurare la registrazione di AWS Client VPN

  1. Vai alla console AWS Client VPN.
  2. In Endpoint VPN client, seleziona l'endpoint richiesto.
  3. Nella sezione Logging, fai clic su Attiva il logging e specifica un gruppo di log Amazon CloudWatch a cui verranno inviati i log delle connessioni VPN.

Configura un feed in Google SecOps per importare i log VPN AWS

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log VPN AWS.
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona VPN AWS come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket.
      • s3://your-log-bucket-name/
        • Sostituisci your-log-bucket-name con il nome effettivo del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Modifiche

2024-09-19

Miglioramento:

  • connection-attempt-status è stato mappato a security_result.action.

2024-07-19

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.