AWS Network Firewall-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie AWS Network Firewall-Logs in Google Security Operations aufnehmen. AWS Network Firewall ist ein verwalteter Dienst, der Ihre VPC vor schädlichem Traffic schützt. Wenn Sie Network Firewall-Logs an Google SecOps senden, können Sie Ihr Monitoring, Ihre Analysen und Ihre Bedrohungserkennung verbessern.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS

Logging für AWS Network Firewall konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.
  2. Öffnen Sie die Amazon VPC-Konsole.
  3. Wählen Sie im Navigationsbereich Firewalls aus.
  4. Wählen Sie den Namen der Firewall aus, die Sie bearbeiten möchten.
  5. Wählen Sie den Tab Firewall-Details aus.
  6. Klicken Sie im Bereich Protokollierung auf Bearbeiten.
  7. Wählen Sie die Protokolltypen Flow, Alert und TLS aus.

  8. Wählen Sie für jeden ausgewählten Logtyp S3 als Zieltyp aus.

  9. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Network Firewall Logs (AWS Network Firewall-Logs).
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie AWS Network Firewall als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI.
      • s3://your-log-bucket-name/
        • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
    • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
  • S3-URI: Der Bucket-URI.
    • s3://your-log-bucket-name/
      • Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
  • URI ist ein: Wählen Sie je nach Bucket-Struktur entweder Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

  • Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

  • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
availability_zone target.resource.attribute.cloud.availability_zone Direkt aus dem Feld availability_zone zugeordnet.
event.app_proto network.application_protocol Direkt aus dem Feld event.app_proto zugeordnet, in Großbuchstaben konvertiert, wenn es sich nicht um einen der angegebenen Werte handelt (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 wird durch HTTP ersetzt.
event.dest_ip target.ip Direkt aus dem Feld event.dest_ip zugeordnet.
event.dest_port target.port Direkt aus dem Feld event.dest_port zugeordnet und in eine Ganzzahl konvertiert.
event.event_type additional.fields[event_type_label].key Der Schlüssel ist als „event_type“ fest codiert.
event.event_type additional.fields[event_type_label].value.string_value Direkt aus dem Feld event.event_type zugeordnet.
event.flow_id network.session_id Direkt aus dem Feld event.flow_id zugeordnet und in einen String konvertiert.
event.netflow.age additional.fields[netflow_age_label].key Der Schlüssel ist als „netflow_age“ hartcodiert.
event.netflow.age additional.fields[netflow_age_label].value.string_value Direkt aus dem Feld event.netflow.age zugeordnet und in einen String konvertiert.
event.netflow.bytes network.sent_bytes Direkt aus dem Feld event.netflow.bytes zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
event.netflow.end additional.fields[netflow_end_label].key Der Schlüssel ist als „netflow_end“ hartcodiert.
event.netflow.end additional.fields[netflow_end_label].value.string_value Direkt aus dem Feld event.netflow.end zugeordnet.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key Der Schlüssel ist als „netflow_max_ttl“ hartcodiert.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Direkt aus dem Feld event.netflow.max_ttl zugeordnet und in einen String konvertiert.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key Der Schlüssel ist als „netflow_min_ttl“ hartcodiert.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Direkt aus dem Feld event.netflow.min_ttl zugeordnet und in einen String konvertiert.
event.netflow.pkts network.sent_packets Direkt aus dem Feld event.netflow.pkts zugeordnet und in eine Ganzzahl konvertiert.
event.netflow.start additional.fields[netflow_start_label].key Der Schlüssel ist als „netflow_start“ hartcodiert.
event.netflow.start additional.fields[netflow_start_label].value.string_value Direkt aus dem Feld event.netflow.start zugeordnet.
event.proto network.ip_protocol Direkt aus dem Feld event.proto zugeordnet. Wenn der Wert „IPv6-ICMP“ ist, wird er durch „ICMP“ ersetzt.
event.src_ip principal.ip Direkt aus dem Feld event.src_ip zugeordnet.
event.src_port principal.port Direkt aus dem Feld event.src_port zugeordnet und in eine Ganzzahl konvertiert.
event.tcp.syn additional.fields[syn_label].key Der Schlüssel ist als „syn“ hartcodiert.
event.tcp.syn additional.fields[syn_label].value.string_value Direkt aus dem Feld event.tcp.syn zugeordnet und in einen String konvertiert.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key Der Schlüssel ist als „tcp_flags“ hartcodiert.
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Direkt aus dem Feld event.tcp.tcp_flags zugeordnet.
event_timestamp metadata.event_timestamp.seconds Direkt aus dem Feld event_timestamp zugeordnet, als Zeitstempel geparst.
event_timestamp timestamp.seconds Direkt aus dem Feld event_timestamp zugeordnet, als Zeitstempel geparst.
firewall_name metadata.product_event_type Direkt aus dem Feld firewall_name zugeordnet. Auf „NETWORK_CONNECTION“ festgelegt, wenn sowohl event.src_ip als auch event.dest_ip vorhanden sind, andernfalls auf „GENERIC_EVENT“. Fest codiert auf „AWS Network Firewall“. Fest codiert auf „AWS“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten