Recolha registos de VPN da AWS

Compatível com:

Este documento explica como carregar registos de VPN da AWS para o Google Security Operations. A VPN da AWS oferece uma ligação segura entre a sua rede no local e a sua nuvem privada virtual (VPC) da Amazon. Ao encaminhar os registos da VPN para o Google SecOps, pode analisar as atividades de ligação VPN, detetar potenciais riscos de segurança e monitorizar padrões de tráfego.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS

Configure o AWS IAM e o S3

  1. Crie um contentor do Amazon S3 seguindo este guia do utilizador: Criar um contentor.
  2. Guarde o Nome e a Região do contentor para utilização posterior.
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Como configurar o CloudTrail para o registo da VPN da AWS

  1. Inicie sessão na AWS Management Console.
  2. Na barra de pesquisa, escreva e selecione CloudTrail na lista de serviços.
  3. Clique em Criar trilho.
  4. Indique um nome do rasto; por exemplo, VPN-Activity-Trail.
  5. Selecione a caixa de verificação Ativar para todas as contas na minha organização.
  6. Escreva o URI do contentor do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo contentor do S3.
  7. Se a SSE-KMS estiver ativada, indique um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS existente.
  8. Pode deixar as outras definições como predefinições.
  9. Clicar em Seguinte.
  10. Selecione Eventos de gestão para Todos e Eventos de dados para Serviços de rede e VPN em Tipos de eventos.
  11. Clicar em Seguinte.
  12. Reveja as definições em Rever e criar.

  13. Clique em Criar trilho.

  14. Opcional: se criou um novo contentor durante a configuração do CloudTrail, continue com o seguinte processo:

    1. Aceda ao S3.
    2. Identifique e selecione o contentor de registos recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e guarde-o.

Como configurar o registo da VPN do cliente da AWS

  1. Aceda à consola da VPN de cliente da AWS.
  2. Em Pontos finais da VPN de cliente, selecione o ponto final necessário.
  3. Na secção Registo, clique em Ativar registo e especifique um grupo de registos do Amazon CloudWatch para o qual os registos de ligação VPN vão ser enviados.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de VPN da AWS

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registo AWS VPN.

  3. Especifique os valores nos seguintes campos.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila SQS a partir da qual ler
    • URI do S3: o URI do contentor.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu contentor do S3.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.

    • ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.

    • Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.