Mengumpulkan log Amazon CloudFront

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Amazon CloudFront dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan AWS_CLOUDFRONT.

Sebelum memulai

Pastikan bucket Amazon S3 dibuat. Untuk mengetahui informasi selengkapnya, lihat Membuat bucket S3 pertama Anda.

Mengonfigurasi Amazon CloudFront

  1. Login ke konsol AWS Management.
  2. Akses konsol Amazon S3, lalu buat bucket Amazon S3.
  3. Klik Aktif untuk mengaktifkan logging.
  4. Di kolom Bucket for logs, tentukan nama bucket Amazon S3.
  5. Di kolom Awalan log, tentukan awalan opsional.
  6. Setelah file log disimpan di bucket Amazon S3, buat antrean SQS, lalu lampirkan dengan bucket Amazon S3.

Mengidentifikasi endpoint untuk konektivitas

Periksa kebijakan pengguna Identity and Access Management dan kunci KMS yang diperlukan untuk S3, SQS, dan KMS.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan melihat dokumentasi AWS berikut:

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Masukkan nama unik untuk Nama feed.
  5. Pilih Amazon S3 atau Amazon SQS sebagai Source type.
  6. Pilih AWS CloudFront sebagai Jenis log.
  7. Klik Berikutnya.
  8. Google SecOps mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan secret, lihat Mengonfigurasi autentikasi alat dengan AWS.
  9. Berdasarkan konfigurasi Amazon CloudFront yang Anda buat, tentukan nilai untuk kolom berikut:
    • Jika Anda menggunakan Amazon S3, tentukan nilai untuk kolom berikut:
      • Region
      • URI S3
      • URI adalah
      • Opsi penghapusan sumber
    • Jika Anda menggunakan Amazon SQS, tentukan nilai untuk kolom berikut:
      • Region
      • Nama antrean
      • Nomor rekening
      • ID kunci akses antrean
      • Kunci akses rahasia antrean
      • Opsi penghapusan sumber
  10. Klik Berikutnya, lalu klik Kirim.

Untuk mengirim log Amazon CloudFront ke bucket Amazon S3, lihat Mengonfigurasi dan menggunakan log standar (log akses).

Menyiapkan feed dari Hub Konten

Anda dapat mengonfigurasi feed penyerapan di Google SecOps menggunakan Amazon SQS (pilihan) atau Amazon S3.

Tentukan nilai untuk kolom berikut:

  • Region: Region tempat bucket S3 atau antrean SQS dihosting.
  • Nama Antrean: Nama antrean SQS yang akan dibaca data lognya.
  • Nomor Akun: Nomor akun yang memiliki antrean SQS.
  • Queue Access Key ID: ID kunci akses akun 20 karakter. Contoh, AKIAOSFOODNN7EXAMPLE.
  • Queue Secret Access Key: Kunci akses rahasia 40 karakter. Contoh, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Opsi penghapusan sumber: Opsi untuk menghapus file dan direktori setelah mentransfer data.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Untuk mengetahui informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Operasi Keamanan Google.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari log AWS CloudFront dalam format SYSLOG atau JSON, lalu menormalisasinya ke dalam UDM. Logstash menggunakan pola grok untuk mengurai string pesan, menangani berbagai transformasi data (misalnya, konversi jenis, penggantian nama), dan memperkaya data dengan konteks tambahan seperti penguraian agen pengguna dan identifikasi protokol aplikasi.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
c-ip principal.ip Dipetakan secara langsung. Juga dipetakan ke principal.asset.ip.
c-port principal.port Dipetakan secara langsung.
cs(Cookie) additional.fields[].key: "cookie"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika cs(Cookie) ada dan agent tidak berisi "://".
cs(Host) principal.hostname Dipetakan secara langsung. Juga dipetakan ke principal.asset.hostname. Digunakan dalam membuat target.url jika kolom URL lain tidak tersedia.
cs(Referer) network.http.referral_url Dipetakan secara langsung.
cs(User-Agent) network.http.user_agent Dipetakan secara langsung. Juga dipetakan ke network.http.parsed_user_agent dan diuraikan ke dalam komponennya jika tidak berisi "://".
cs-bytes network.sent_bytes Dipetakan secara langsung. Dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
cs-method network.http.method Dipetakan secara langsung.
cs-protocol network.application_protocol Dipetakan setelah dikonversi menjadi huruf besar. Jika nilai tidak dikenali sebagai protokol aplikasi standar dan cs-protocol-version berisi "HTTP", maka network.application_protocol disetel ke "HTTP".
dport target.port Dipetakan secara langsung. Dikonversi ke bilangan bulat.
edge_location principal.location.name Dipetakan secara langsung.
fle-encrypted-fields additional.fields[].key: "fle-encrypted-fields"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
fle-status additional.fields[].key: "fle-status"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
host principal.hostname, principal.asset.hostname Dipetakan secara langsung.
id principal.asset_id Dipetakan langsung dengan awalan "id: ".
ip target.ip, target.asset.ip Dipetakan secara langsung.
log_id metadata.product_log_id Dipetakan secara langsung.
resource additional.fields[].key: "resource"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
result_type additional.fields[].key: "result_type"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
sc-bytes network.received_bytes Dipetakan secara langsung. Dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
sc-content-len additional.fields[].key: "sc-content-len"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
sc-status network.http.response_code Dipetakan secara langsung. Dikonversi ke bilangan bulat.
ssl-cipher network.tls.cipher Dipetakan secara langsung.
ssl-protocol network.tls.version Dipetakan secara langsung.
timestamp metadata.event_timestamp Diuraikan dan dipetakan jika tersedia. Format yang berbeda didukung.
ts metadata.event_timestamp Diuraikan dan dipetakan jika tersedia. Format ISO8601 diharapkan.
url target.url Dipetakan secara langsung.
url_back_to_product metadata.url_back_to_product Dipetakan secara langsung.
x-edge-detailed-result-type additional.fields[].key: "x-edge-detailed-result-type"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
x-edge-location additional.fields[].key: "x-edge-location"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
x-edge-request-id additional.fields[].key: "x-edge-request-id"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
x-edge-response-result-type additional.fields[].key: "x-edge-response-result-type"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
x-edge-result-type additional.fields[].key: "x-edge-result-type"
additional.fields[].value.string_value: Dipetakan secara langsung.
Dipetakan secara kondisional jika ada.
x-forwarded-for target.ip, target.asset.ip Dipetakan secara langsung. Jika ada beberapa IP (dipisahkan dengan koma), IP tersebut akan dibagi dan digabungkan ke dalam kolom UDM masing-masing.
x-host-header target.hostname, target.asset.hostname Dipetakan secara langsung. Tetapkan ke "NETWORK_HTTP" jika ip atau x-forwarded-for dan http_verb ada. Jika tidak, tetapkan ke "GENERIC_EVENT". Dikodekan secara permanen ke "AWS_CLOUDFRONT". Dikodekan secara permanen ke "AWS CloudFront". Dikodekan secara permanen ke "AMAZON". Waktu penyerapan entri log ke Google Security Operations.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.