Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AWS Network Firewall

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log AWS Network Firewall ke Google Security Operations. AWS Network Firewall adalah layanan terkelola yang memberikan perlindungan pada VPC Anda terhadap traffic berbahaya. Dengan mengirimkan log Network Firewall ke Google SecOps, Anda dapat meningkatkan kualitas pemantauan, analisis, dan deteksi ancaman.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke AWS

Cara mengonfigurasi Logging untuk AWS Network Firewall

Login ke AWS Management Console.
Buka konsol Amazon VPC.
Di panel navigasi, pilih Firewall.
Pilih nama firewall yang ingin Anda edit.
Pilih tab Firewall details.
Di bagian Logging, klik Edit.
Pilih jenis log: Flow, Alert, dan TLS.
Untuk setiap jenis log yang dipilih, pilih S3 untuk jenis tujuan.

Catatan: Untuk mengubah tujuan jenis log yang ada, Anda harus menonaktifkan logging untuk kebijakan tersebut terlebih dahulu.
Kemudian, edit kebijakan dan tentukan tujuan baru untuk jenis log.
Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Network Firewall Logs).
Pilih Amazon S3 sebagai Jenis sumber.
Pilih AWS Network Firewall sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
  - s3://your-log-bucket-name/
    - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
- URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Region: Region tempat bucket Amazon S3 berada.
URI S3: URI bucket.
- s3://your-log-bucket-name/
  - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Dipetakan langsung dari kolom `availability_zone`.
`event.app_proto`	`network.application_protocol`	Dipetakan langsung dari kolom `event.app_proto`, dikonversi menjadi huruf besar jika bukan salah satu nilai yang ditentukan (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 diganti dengan HTTP.
`event.dest_ip`	`target.ip`	Dipetakan langsung dari kolom `event.dest_ip`.
`event.dest_port`	`target.port`	Dipetakan langsung dari kolom `event.dest_port`, dikonversi menjadi bilangan bulat.
`event.event_type`	`additional.fields[event_type_label].key`	Kuncinya dikodekan secara permanen sebagai "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Dipetakan langsung dari kolom `event.event_type`.
`event.flow_id`	`network.session_id`	Dipetakan langsung dari kolom `event.flow_id`, dikonversi menjadi string.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	Kuncinya di-hardcode sebagai "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.age`, dikonversi menjadi string.
`event.netflow.bytes`	`network.sent_bytes`	Dipetakan langsung dari kolom `event.netflow.bytes`, dikonversi menjadi bilangan bulat tidak bertanda.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	Kuncinya dikodekan secara permanen sebagai "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	Kuncinya dikodekan secara permanen sebagai "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.max_ttl`, dikonversi menjadi string.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	Kunci di-hardcode sebagai "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.min_ttl`, dikonversi menjadi string.
`event.netflow.pkts`	`network.sent_packets`	Dipetakan langsung dari kolom `event.netflow.pkts`, dikonversi menjadi bilangan bulat.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	Kunci dikodekan secara permanen sebagai "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Dipetakan langsung dari kolom `event.proto`. Jika nilainya adalah "IPv6-ICMP", nilai tersebut akan diganti dengan "ICMP".
`event.src_ip`	`principal.ip`	Dipetakan langsung dari kolom `event.src_ip`.
`event.src_port`	`principal.port`	Dipetakan langsung dari kolom `event.src_port`, dikonversi menjadi bilangan bulat.
`event.tcp.syn`	`additional.fields[syn_label].key`	Kunci di-hardcode sebagai "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Dipetakan langsung dari kolom `event.tcp.syn`, dikonversi menjadi string.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	Kuncinya di-hardcode sebagai "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Dipetakan langsung dari kolom `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Dipetakan langsung dari kolom `event_timestamp`, diuraikan sebagai stempel waktu.
`event_timestamp`	`timestamp.seconds`	Dipetakan langsung dari kolom `event_timestamp`, diuraikan sebagai stempel waktu.
`firewall_name`	`metadata.product_event_type`	Dipetakan langsung dari kolom `firewall_name`. Tetapkan ke "NETWORK_CONNECTION" jika `event.src_ip` dan `event.dest_ip` ada, jika tidak, tetapkan ke "GENERIC_EVENT". Dikodekan secara permanen ke "AWS Network Firewall". Dikodekan secara permanen ke "AWS".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.