收集 Amazon CloudFront 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 資訊提供,以收集 Amazon CloudFront 記錄。
詳情請參閱「將資料擷取至 Google Security Operations 總覽」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 AWS_CLOUDFRONT 攝入標籤的剖析器。
事前準備
確認已建立 Amazon S3 bucket。詳情請參閱建立第一個 S3 值區。
設定 Amazon CloudFront
- 登入 AWS 管理主控台。
- 存取 Amazon S3 控制台,然後建立 Amazon S3 值區。
- 按一下「開啟」即可啟用記錄功能。
- 在「Bucket for logs」(記錄的 Bucket) 欄位中,指定 Amazon S3 Bucket 名稱。
- 在「記錄前置字串」欄位中,指定選用的前置字串。
- 將記錄檔儲存在 Amazon S3 儲存桶後,請建立 SQS 佇列,並將其附加至 Amazon S3 儲存桶。
找出連線端點
檢查 S3、SQS 和 KMS 的必要 Identity and Access Management 使用者和 KMS 金鑰政策。
根據服務和區域,參閱下列 AWS 說明文件,找出連線端點:
- 如要瞭解任何記錄來源,請參閱「AWS Identity and Access Management 端點和配額」。
- 如要瞭解 S3 記錄來源,請參閱「Amazon Simple Storage Service 端點和配額」。
- 如要瞭解 SQS 記錄來源,請參閱「Amazon Simple Queue Service 端點和配額」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 輸入資訊提供的專屬名稱。
- 選取「Amazon S3」或「Amazon SQS」做為「來源類型」。
- 選取「AWS CloudFront」做為「記錄類型」。
- 點選「下一步」。
- Google SecOps 支援使用存取金鑰 ID 和私密方法收集記錄檔。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
- 根據您建立的 Amazon CloudFront 設定,為下列欄位指定值:
- 如果您使用 Amazon S3,請為下列欄位指定值:
- 區域
- S3 URI
- URI 是
- 來源刪除選項
- 如果您使用 Amazon SQS,請為下列欄位指定值:
- 區域
- 佇列名稱
- 帳戶號碼
- 佇列存取金鑰 ID
- 佇列存取密鑰
- 來源刪除選項
- 如果您使用 Amazon S3,請為下列欄位指定值:
- 依序點按「繼續」和「提交」。
如要將 Amazon CloudFront 記錄傳送至 Amazon S3 值區,請參閱「設定及使用標準記錄 (存取記錄)」。
從內容中心設定動態饋給
您可以使用 Amazon SQS (建議) 或 Amazon S3,在 Google SecOps 中設定擷取動態饋給。
為下列欄位指定值:
- 區域:S3 bucket 或 SQS 佇列的代管區域。
- 佇列名稱:要從中讀取記錄資料的 SQS 佇列名稱。
- 帳號:擁有 SQS 佇列的帳號。
- 佇列存取金鑰 ID:20 個字元的帳戶存取金鑰 ID。例如:
AKIAOSFOODNN7EXAMPLE。 - 佇列存取密鑰:40 個字元的存取密鑰。例如:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。 - 來源刪除選項:在轉移資料後刪除檔案和目錄的選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會從 SYSLOG 或 JSON 格式的 AWS CloudFront 記錄中擷取欄位,並將這些欄位正規化為 UDM。它會使用 grok 模式剖析訊息字串、處理各種資料轉換 (例如類型轉換、重新命名),並透過使用者代理程式剖析和應用程式通訊協定識別等額外內容,擴充資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
c-ip |
principal.ip |
直接對應。也對應到「principal.asset.ip」。 |
c-port |
principal.port |
直接對應。 |
cs(Cookie) |
additional.fields[].key:「cookie」additional.fields[].value.string_value:直接對應。 |
如果 cs(Cookie) 存在,且 agent 不含「://」,則會視情況對應。 |
cs(Host) |
principal.hostname |
直接對應。也對應到「principal.asset.hostname」。如果沒有其他網址欄位,可用於建構 target.url。 |
cs(Referer) |
network.http.referral_url |
直接對應。 |
cs(User-Agent) |
network.http.user_agent |
直接對應。如果未包含「://」,也會對應至 network.http.parsed_user_agent 並剖析為其元件。 |
cs-bytes |
network.sent_bytes |
直接對應。已轉換為無正負號整數。 |
cs-method |
network.http.method |
直接對應。 |
cs-protocol |
network.application_protocol |
轉換為大寫後對應。如果系統無法將值辨識為標準應用程式通訊協定,且 cs-protocol-version 包含「HTTP」,則 network.application_protocol 會設為「HTTP」。 |
dport |
target.port |
直接對應。轉換成整數。 |
edge_location |
principal.location.name |
直接對應。 |
fle-encrypted-fields |
additional.fields[].key:「fle-encrypted-fields」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
fle-status |
additional.fields[].key:「fle-status」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
host |
principal.hostname、principal.asset.hostname |
直接對應。 |
id |
principal.asset_id |
直接對應前置字串「id: 」。 |
ip |
target.ip、target.asset.ip |
直接對應。 |
log_id |
metadata.product_log_id |
直接對應。 |
resource |
additional.fields[].key:「resource」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
result_type |
additional.fields[].key:「result_type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-bytes |
network.received_bytes |
直接對應。已轉換為無正負號整數。 |
sc-content-len |
additional.fields[].key:「sc-content-len」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-content-type |
additional.fields[].key:「sc-content-type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
sc-status |
network.http.response_code |
直接對應。轉換成整數。 |
ssl-cipher |
network.tls.cipher |
直接對應。 |
ssl-protocol |
network.tls.version |
直接對應。 |
timestamp |
metadata.event_timestamp |
如果有的話,系統會剖析並對應。支援不同格式。 |
ts |
metadata.event_timestamp |
如果有的話,系統會剖析並對應。請採用 ISO8601 格式。 |
url |
target.url |
直接對應。 |
url_back_to_product |
metadata.url_back_to_product |
直接對應。 |
x-edge-detailed-result-type |
additional.fields[].key:「x-edge-detailed-result-type」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-location |
additional.fields[].key:「x-edge-location」additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-request-id |
additional.fields[].key: "x-edge-request-id"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-response-result-type |
additional.fields[].key: "x-edge-response-result-type"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-edge-result-type |
additional.fields[].key: "x-edge-result-type"additional.fields[].value.string_value:直接對應。 |
如有,則有條件地對應。 |
x-forwarded-for |
target.ip、target.asset.ip |
直接對應。如果有多個 IP (以半形逗號分隔),系統會將其分割並合併至對應的 UDM 欄位。 |
x-host-header |
target.hostname、target.asset.hostname |
直接對應。如果同時存在 ip 或 x-forwarded-for 和 http_verb,請設為「NETWORK_HTTP」。否則請設為「GENERIC_EVENT」。硬式編碼為「AWS_CLOUDFRONT」。硬式編碼為「AWS CloudFront」。硬式編碼為「AMAZON」。記錄項目擷取至 Google Security Operations 的時間。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。