Amazon CloudFront-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Amazon CloudFront-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label AWS_CLOUDFRONT.

Hinweise

Prüfen Sie, ob der Amazon S3-Bucket erstellt wurde. Weitere Informationen finden Sie unter Ersten S3-Bucket erstellen.

Amazon CloudFront konfigurieren

  1. Melden Sie sich in der AWS Management Console an.
  2. Rufen Sie die Amazon S3-Konsole auf und erstellen Sie den Amazon S3-Bucket.
  3. Klicken Sie auf Ein, um die Protokollierung zu aktivieren.
  4. Geben Sie im Feld Bucket for logs (Bucket für Protokolle) den Namen des Amazon S3-Buckets an.
  5. Geben Sie im Feld Log prefix (Log-Präfix) ein optionales Präfix an.
  6. Nachdem die Logdateien im Amazon S3-Bucket gespeichert wurden, erstellen Sie eine SQS-Warteschlange und hängen Sie sie an den Amazon S3-Bucket an.

Endpunkte für die Konnektivität ermitteln

Prüfen Sie die erforderlichen Identity and Access Management-Nutzer- und KMS-Schlüsselrichtlinien für S3, SQS und KMS.

Ermitteln Sie anhand des Dienstes und der Region die Endpunkte für die Verbindung. Verwenden Sie dazu die folgende AWS-Dokumentation:

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie einen eindeutigen Namen für den Feednamen ein.
  5. Wählen Sie Amazon S3 oder Amazon SQS als Quelltyp aus.
  6. Wählen Sie AWS CloudFront als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Google SecOps unterstützt die Protokollerfassung mit der Zugriffsschlüssel-ID und der geheimen Methode. Informationen zum Erstellen einer Zugriffsschlüssel-ID und eines Secrets finden Sie unter Tool-Authentifizierung mit AWS konfigurieren.
  9. Geben Sie basierend auf der von Ihnen erstellten Amazon CloudFront-Konfiguration Werte für die folgenden Felder an:
    • Wenn Sie Amazon S3 verwenden, geben Sie Werte für die folgenden Felder an:
      • Region
      • S3-URI
      • URI ist ein
      • Option zum Löschen der Quelle
    • Wenn Sie Amazon SQS verwenden, geben Sie Werte für die folgenden Felder an:
      • Region
      • Name der Warteschlange
      • Kontonummer
      • Warteschlangen-Zugriffsschlüssel-ID
      • Geheimer Zugriffsschlüssel für die Warteschlange
      • Option zum Löschen der Quelle
  10. Klicken Sie auf Weiter und dann auf Senden.

Informationen zum Senden der Amazon CloudFront-Protokolle an den Amazon S3-Bucket finden Sie unter Standardprotokolle (Zugriffsprotokolle) konfigurieren und verwenden.

Feeds über den Content Hub einrichten

Sie können den Erfassungsfeed in Google SecOps entweder mit Amazon SQS (bevorzugt) oder Amazon S3 konfigurieren.

Geben Sie Werte für die folgenden Felder an:

  • Region: Region, in der der S3-Bucket oder die SQS-Warteschlange gehostet wird.
  • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
  • Kontonummer: Kontonummer, zu der die SQS-Warteschlange gehört.
  • Warteschlangen-Zugriffsschlüssel-ID: 20-stellige Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
  • Queue Secret Access Key (geheimer Zugriffsschlüssel für die Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn Sie Probleme beim Erstellen von Feeds haben, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Mit diesem Parser werden Felder aus AWS CloudFront-Logs im SYSLOG- oder JSON-Format extrahiert und in das UDM normalisiert. Dabei werden Grok-Muster zum Parsen von Meldungsstrings verwendet. Außerdem werden verschiedene Datentransformationen (z. B. Typkonvertierungen, Umbenennungen) durchgeführt und die Daten werden mit zusätzlichem Kontext angereichert, z. B. durch Parsen des User-Agents und Identifizieren des Anwendungsprotokolls.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
c-ip principal.ip Direkt zugeordnet. Auch principal.asset.ip zugeordnet.
c-port principal.port Direkt zugeordnet.
cs(Cookie) additional.fields[].key: „cookie“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, wenn cs(Cookie) vorhanden ist und agent nicht „://“ enthält.
cs(Host) principal.hostname Direkt zugeordnet. Auch principal.asset.hostname zugeordnet. Wird zum Erstellen von target.url verwendet, wenn keine anderen URL-Felder verfügbar sind.
cs(Referer) network.http.referral_url Direkt zugeordnet.
cs(User-Agent) network.http.user_agent Direkt zugeordnet. Wird auch network.http.parsed_user_agent zugeordnet und in seine Komponenten aufgeteilt, wenn es nicht „://“ enthält.
cs-bytes network.sent_bytes Direkt zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
cs-method network.http.method Direkt zugeordnet.
cs-protocol network.application_protocol Wird nach der Konvertierung in Großbuchstaben zugeordnet. Wenn der Wert nicht als Standardanwendungsprotokoll erkannt wird und cs-protocol-version „HTTP“ enthält, wird network.application_protocol auf „HTTP“ gesetzt.
dport target.port Direkt zugeordnet. In Ganzzahl konvertiert.
edge_location principal.location.name Direkt zugeordnet.
fle-encrypted-fields additional.fields[].key: „fle-encrypted-fields“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
fle-status additional.fields[].key: „fle-status“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
host principal.hostname, principal.asset.hostname Direkt zugeordnet.
id principal.asset_id Direkt dem Präfix „id: “ zugeordnet.
ip target.ip, target.asset.ip Direkt zugeordnet.
log_id metadata.product_log_id Direkt zugeordnet.
resource additional.fields[].key: „resource“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
result_type additional.fields[].key: „result_type“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
sc-bytes network.received_bytes Direkt zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
sc-content-len additional.fields[].key: „sc-content-len“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
sc-content-type additional.fields[].key: „sc-content-type“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
sc-status network.http.response_code Direkt zugeordnet. In Ganzzahl konvertiert.
ssl-cipher network.tls.cipher Direkt zugeordnet.
ssl-protocol network.tls.version Direkt zugeordnet.
timestamp metadata.event_timestamp Sofern verfügbar, werden sie geparst und zugeordnet. Es werden verschiedene Formate unterstützt.
ts metadata.event_timestamp Sofern verfügbar, werden sie geparst und zugeordnet. Das ISO 8601-Format ist erforderlich.
url target.url Direkt zugeordnet.
url_back_to_product metadata.url_back_to_product Direkt zugeordnet.
x-edge-detailed-result-type additional.fields[].key: „x-edge-detailed-result-type“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
x-edge-location additional.fields[].key: „x-edge-location“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
x-edge-request-id additional.fields[].key: „x-edge-request-id“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
x-edge-response-result-type additional.fields[].key: „x-edge-response-result-type“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
x-edge-result-type additional.fields[].key: „x-edge-result-type“
additional.fields[].value.string_value: Direkt zugeordnet.		 Wird bedingt zugeordnet, falls vorhanden.
x-forwarded-for target.ip, target.asset.ip Direkt zugeordnet. Wenn mehrere IP-Adressen vorhanden sind (kommagetrennt), werden sie aufgeteilt und in die entsprechenden UDM-Felder zusammengeführt.
x-host-header target.hostname, target.asset.hostname Direkt zugeordnet. Wird auf „NETWORK_HTTP“ gesetzt, wenn entweder ip oder x-forwarded-for und http_verb vorhanden sind. Andernfalls auf „GENERIC_EVENT“ setzen. Fest codiert auf „AWS_CLOUDFRONT“. Fest codiert auf „AWS CloudFront“. Fest codiert auf „AMAZON“. Die Aufnahmezeit des Logeintrags in Google Security Operations.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten