Recopila registros de AWS Network Firewall

Compatible con:

En este documento, se explica cómo transferir registros del firewall de red de AWS a Google Security Operations. AWS Network Firewall es un servicio administrado que brinda protección a tu VPC contra el tráfico malicioso. Si envías los registros del Firewall de red a Google SecOps, puedes mejorar la supervisión, el análisis y la detección de amenazas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Cómo configurar el registro para el firewall de red de AWS

  1. Accede a la consola de administración de AWS.
  2. Abre la consola de Amazon VPC.
  3. En el panel de navegación, selecciona Firewalls.
  4. Selecciona el nombre del firewall que deseas editar.
  5. Selecciona la pestaña Detalles del firewall.
  6. En la sección Registro, haz clic en Editar.
  7. Selecciona los tipos de registros: Flujo, Alerta y TLS.

  8. Para cada tipo de registro seleccionado, elige S3 como el tipo de destino.

  9. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros del firewall de red de AWS).
  5. Selecciona Amazon S3 como el Tipo de fuente.
  6. Selecciona AWS Network Firewall como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.
      • s3://your-log-bucket-name/
        • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios, según la estructura de tu bucket.

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Región: Es la región en la que se encuentra el bucket de Amazon S3.
  • URI de S3: Es el URI del bucket.
    • s3://your-log-bucket-name/
      • Reemplaza your-log-bucket-name por el nombre real de tu bucket de S3.
  • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios, según la estructura de tu bucket.
  • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

  • ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.

  • Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
availability_zone target.resource.attribute.cloud.availability_zone Se asigna directamente desde el campo availability_zone.
event.app_proto network.application_protocol Se asigna directamente desde el campo event.app_proto y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 se reemplaza por HTTP.
event.dest_ip target.ip Se asigna directamente desde el campo event.dest_ip.
event.dest_port target.port Se asigna directamente desde el campo event.dest_port y se convierte en un número entero.
event.event_type additional.fields[event_type_label].key La clave está codificada como "event_type".
event.event_type additional.fields[event_type_label].value.string_value Se asigna directamente desde el campo event.event_type.
event.flow_id network.session_id Se asigna directamente desde el campo event.flow_id y se convierte en una cadena.
event.netflow.age additional.fields[netflow_age_label].key La clave está codificada como "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Se asigna directamente desde el campo event.netflow.age y se convierte en una cadena.
event.netflow.bytes network.sent_bytes Se asigna directamente desde el campo event.netflow.bytes y se convierte en un número entero sin signo.
event.netflow.end additional.fields[netflow_end_label].key La clave está codificada como "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Se asigna directamente desde el campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key La clave está codificada como "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Se asigna directamente desde el campo event.netflow.max_ttl y se convierte en una cadena.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key La clave está codificada como "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Se asigna directamente desde el campo event.netflow.min_ttl y se convierte en una cadena.
event.netflow.pkts network.sent_packets Se asigna directamente desde el campo event.netflow.pkts y se convierte en un número entero.
event.netflow.start additional.fields[netflow_start_label].key La clave está codificada como "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Se asigna directamente desde el campo event.netflow.start.
event.proto network.ip_protocol Se asigna directamente desde el campo event.proto. Si el valor es "IPv6-ICMP", se reemplaza por "ICMP".
event.src_ip principal.ip Se asigna directamente desde el campo event.src_ip.
event.src_port principal.port Se asigna directamente desde el campo event.src_port y se convierte en un número entero.
event.tcp.syn additional.fields[syn_label].key La clave está codificada como "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Se asigna directamente desde el campo event.tcp.syn y se convierte en una cadena.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key La clave está codificada como "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Se asigna directamente desde el campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo.
event_timestamp timestamp.seconds Se asigna directamente desde el campo event_timestamp y se analiza como una marca de tiempo.
firewall_name metadata.product_event_type Se asigna directamente desde el campo firewall_name. Se establece en "NETWORK_CONNECTION" si están presentes event.src_ip y event.dest_ip; de lo contrario, se establece en "GENERIC_EVENT". Se codifica de forma rígida como "AWS Network Firewall". Se codifica de forma rígida como "AWS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.