Diese Seite wurde von der Cloud Translation API übersetzt.

Amazon CloudFront-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Amazon CloudFront-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label AWS_CLOUDFRONT.

Hinweise

Prüfen Sie, ob der Amazon S3-Bucket erstellt wurde. Weitere Informationen finden Sie unter Ersten S3-Bucket erstellen.

Amazon CloudFront konfigurieren

Melden Sie sich in der AWS Management Console an.
Rufen Sie die Amazon S3-Konsole auf und erstellen Sie den Amazon S3-Bucket.
Klicken Sie auf Ein, um die Protokollierung zu aktivieren.
Geben Sie im Feld Bucket for logs (Bucket für Protokolle) den Namen des Amazon S3-Buckets an.
Geben Sie im Feld Log prefix (Log-Präfix) ein optionales Präfix an.
Nachdem die Logdateien im Amazon S3-Bucket gespeichert wurden, erstellen Sie eine SQS-Warteschlange und hängen Sie sie an den Amazon S3-Bucket an.

Endpunkte für die Konnektivität ermitteln

Prüfen Sie die erforderlichen Identity and Access Management-Nutzer- und KMS-Schlüsselrichtlinien für S3, SQS und KMS.

Ermitteln Sie anhand des Dienstes und der Region die Endpunkte für die Verbindung. Verwenden Sie dazu die folgende AWS-Dokumentation:

Informationen zu Protokollierungsquellen finden Sie unter AWS Identity and Access Management-Endpunkte und ‑Kontingente.
Informationen zu S3-Logging-Quellen finden Sie unter Amazon Simple Storage Service-Endpunkte und ‑Kontingente.
Informationen zu SQS-Logging-Quellen finden Sie unter Amazon Simple Queue Service-Endpunkte und ‑Kontingente.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds > Neu hinzufügen
Content Hub > Content-Packs > Erste Schritte

AWS CloudFront-Feed einrichten

Klicken Sie auf das Paket Amazon Cloud Platform.
Suchen Sie den Logtyp AWS CloudFront.
Geben Sie die Werte in den folgenden Feldern an.
- Quelltyp: Amazon SQS V2
- Warteschlangenname: Der Name der SQS-Warteschlange, aus der gelesen werden soll.
- S3-URI: Der Bucket-URI.
  - s3://your-log-bucket-name/
    - Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
  
  Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- SQS Queue Access Key ID (SQS-Warteschlange-Zugriffsschlüssel-ID): Ein Konto-Zugriffsschlüssel, der ein 20-stelliger alphanumerischer String ist.
- SQS Queue Secret Access Key (geheimer Zugriffsschlüssel für SQS-Warteschlange): Ein Konto-Zugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Referenz zur Feldzuordnung

Mit diesem Parser werden Felder aus AWS CloudFront-Logs im SYSLOG- oder JSON-Format extrahiert und in das UDM normalisiert. Dabei werden Grok-Muster zum Parsen von Meldungsstrings verwendet. Außerdem werden verschiedene Datentransformationen (z. B. Typkonvertierungen, Umbenennungen) durchgeführt und die Daten werden mit zusätzlichem Kontext angereichert, z. B. durch Parsen des User-Agents und Identifizieren des Anwendungsprotokolls.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`c-ip`	`principal.ip`	Direkt zugeordnet. Auch `principal.asset.ip` zugeordnet.
`c-port`	`principal.port`	Direkt zugeordnet.
`cs(Cookie)`	`additional.fields[].key`: „cookie“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, wenn `cs(Cookie)` vorhanden ist und `agent` nicht „://“ enthält.
`cs(Host)`	`principal.hostname`	Direkt zugeordnet. Auch `principal.asset.hostname` zugeordnet. Wird zum Erstellen von `target.url` verwendet, wenn keine anderen URL-Felder verfügbar sind.
`cs(Referer)`	`network.http.referral_url`	Direkt zugeordnet.
`cs(User-Agent)`	`network.http.user_agent`	Direkt zugeordnet. Wird auch `network.http.parsed_user_agent` zugeordnet und in seine Komponenten aufgeteilt, wenn es nicht „://“ enthält.
`cs-bytes`	`network.sent_bytes`	Direkt zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`cs-method`	`network.http.method`	Direkt zugeordnet.
`cs-protocol`	`network.application_protocol`	Wird nach der Konvertierung in Großbuchstaben zugeordnet. Wenn der Wert nicht als Standardanwendungsprotokoll erkannt wird und `cs-protocol-version` „HTTP“ enthält, wird `network.application_protocol` auf „HTTP“ gesetzt.
`dport`	`target.port`	Direkt zugeordnet. In Ganzzahl konvertiert.
`edge_location`	`principal.location.name`	Direkt zugeordnet.
`fle-encrypted-fields`	`additional.fields[].key`: „fle-encrypted-fields“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`fle-status`	`additional.fields[].key`: „fle-status“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`host`	`principal.hostname`, `principal.asset.hostname`	Direkt zugeordnet.
`id`	`principal.asset_id`	Direkt dem Präfix „id: “ zugeordnet.
`ip`	`target.ip`, `target.asset.ip`	Direkt zugeordnet.
`log_id`	`metadata.product_log_id`	Direkt zugeordnet.
`resource`	`additional.fields[].key`: „resource“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`result_type`	`additional.fields[].key`: „result_type“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`sc-bytes`	`network.received_bytes`	Direkt zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`sc-content-len`	`additional.fields[].key`: „sc-content-len“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`sc-content-type`	`additional.fields[].key`: „sc-content-type“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`sc-status`	`network.http.response_code`	Direkt zugeordnet. In Ganzzahl konvertiert.
`ssl-cipher`	`network.tls.cipher`	Direkt zugeordnet.
`ssl-protocol`	`network.tls.version`	Direkt zugeordnet.
`timestamp`	`metadata.event_timestamp`	Sofern verfügbar, werden sie geparst und zugeordnet. Es werden verschiedene Formate unterstützt.
`ts`	`metadata.event_timestamp`	Sofern verfügbar, werden sie geparst und zugeordnet. Das ISO 8601-Format ist erforderlich.
`url`	`target.url`	Direkt zugeordnet.
`url_back_to_product`	`metadata.url_back_to_product`	Direkt zugeordnet.
`x-edge-detailed-result-type`	`additional.fields[].key`: „x-edge-detailed-result-type“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`x-edge-location`	`additional.fields[].key`: „x-edge-location“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`x-edge-request-id`	`additional.fields[].key`: „x-edge-request-id“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`x-edge-response-result-type`	`additional.fields[].key`: „x-edge-response-result-type“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`x-edge-result-type`	`additional.fields[].key`: „x-edge-result-type“ `additional.fields[].value.string_value`: Direkt zugeordnet.	Wird bedingt zugeordnet, falls vorhanden.
`x-forwarded-for`	`target.ip`, `target.asset.ip`	Direkt zugeordnet. Wenn mehrere IP-Adressen vorhanden sind (kommagetrennt), werden sie aufgeteilt und in die entsprechenden UDM-Felder zusammengeführt.
`x-host-header`	`target.hostname`, `target.asset.hostname`	Direkt zugeordnet. Wird auf „NETWORK_HTTP“ gesetzt, wenn entweder `ip` oder `x-forwarded-for` und `http_verb` vorhanden sind. Andernfalls auf „GENERIC_EVENT“ setzen. Fest codiert auf „AWS_CLOUDFRONT“. Fest codiert auf „AWS CloudFront“. Fest codiert auf „AMAZON“. Die Aufnahmezeit des Logeintrags in Google Security Operations.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten