收集 AWS VPN 日志

本文档介绍了如何将 AWS VPN 日志提取到 Google Security Operations。AWS VPN 可在您的本地网络与 Amazon Virtual Private Cloud (VPC) 之间建立安全连接。通过将 VPN 日志转发到 Google SecOps，您可以分析 VPN 连接活动、检测潜在的安全风险，以及监控流量模式。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您拥有对 AWS 的特权访问权限。

配置 AWS IAM 和 S3

1. 按照此用户指南中的说明创建 Amazon S3 存储分区：创建存储分区。
2. 保存存储分区的名称和区域，以备日后使用。
3. 按照此用户指南中的说明创建用户：创建 IAM 用户。
4. 选择创建的用户。
5. 选择安全凭据标签页。
6. 在访问密钥部分中，点击创建访问密钥。
7. 选择第三方服务作为用例。
8. 点击下一步。
9. 可选：添加说明标记。
10. 点击创建访问密钥。
11. 点击下载 CSV 文件，保存访问密钥和密钥以供日后使用。
12. 点击完成。
13. 选择权限标签页。
14. 在权限政策部分中，点击添加权限。
15. 选择添加权限。
16. 选择直接附加政策。
17. 搜索并选择 AmazonS3FullAccess 政策。
18. 点击下一步。
19. 点击添加权限。

为 AWS VPN 日志记录配置 CloudTrail

1. 登录 AWS Management Console。
2. 在搜索栏中输入 CloudTrail，然后从服务列表中选择该服务。
3. 点击创建小路。
4. 提供轨迹名称；例如 VPN-Activity-Trail。
5. 选中为组织中的所有账号启用复选框。
6. 输入之前创建的 S3 存储分区 URI（格式应为：s3://your-log-bucket-name/），或创建新的 S3 存储分区。
7. 如果启用了 SSE-KMS，请为 AWS KMS 别名提供名称，或选择现有的 AWS KMS 密钥。
8. 您可以将其他设置保留为默认设置。
9. 点击下一步。
10. 在事件类型下，将管理事件设为全部，将数据事件设为网络和 VPN 服务。
11. 点击下一步。
12. 在检查并创建中检查设置。

13. 点击创建小路。

14. 可选：如果您在 CloudTrail 配置期间创建了新存储分区，请继续执行以下流程：

    1. 前往 S3。
    2. 找到并选择新创建的日志存储分区。
    3. 选择 AWSLogs 文件夹。
    4. 点击复制 S3 URI 并保存。

配置 AWS 客户端 VPN 日志记录

1. 前往 AWS Client VPN 控制台。
2. 在客户端 VPN 端点下，选择所需的端点。
3. 在日志记录部分，点击启用日志记录，然后指定要将 VPN 连接日志发送到的 Amazon CloudWatch Log 组。

在 Google SecOps 中配置 Feed 以提取 AWS VPN 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在Feed 名称字段中，输入 Feed 的名称；例如，AWS VPN 日志。
4. 选择 Amazon S3 作为来源类型。
5. 选择 AWS VPN 作为日志类型。
6. 点击下一步。

7. 为以下输入参数指定值：

   • 区域：Amazon S3 存储分区所在的区域。
   • S3 URI：存储分区 URI。
     • s3://your-log-bucket-name/
       • 将 your-log-bucket-name 替换为存储分区的实际名称。
   • URI 是：选择目录或包含子目录的目录。

   • 来源删除选项：根据您的偏好选择删除选项。

   • 访问密钥 ID：有权访问 S3 存储分区的用户访问密钥。

   • 私有访问密钥：有权访问 S3 存储分区的用户私有密钥。

   • 资源命名空间：资源命名空间。

   • 提取标签：要应用于此 Feed 中的事件的标签。

8. 点击下一步。

9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

UDM 映射表

变化

2024-09-19

增强功能：

• 将 connection-attempt-status 映射到 security_result.action。

2024-07-19

• 新创建的解析器。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。