Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AWS Network Firewall

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log AWS Network Firewall ke Google Security Operations. AWS Network Firewall adalah layanan terkelola yang memberikan perlindungan pada VPC Anda terhadap traffic berbahaya. Dengan mengirimkan log Network Firewall ke Google SecOps, Anda dapat meningkatkan kualitas pemantauan, analisis, dan deteksi ancaman.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke AWS

Cara mengonfigurasi Logging untuk AWS Network Firewall

Login ke AWS Management Console.
Buka konsol Amazon VPC.
Di panel navigasi, pilih Firewall.
Pilih nama firewall yang ingin Anda edit.
Pilih tab Firewall details.
Di bagian Logging, klik Edit.
Pilih jenis log: Flow, Alert, dan TLS.
Untuk setiap jenis log yang dipilih, pilih S3 untuk jenis tujuan.

Catatan: Untuk mengubah tujuan jenis log yang ada, Anda harus menonaktifkan logging untuk kebijakan tersebut terlebih dahulu.
Kemudian, edit kebijakan dan tentukan tujuan baru untuk jenis log.
Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed > Tambahkan Baru
Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS Network Firewall

Klik paket Amazon Cloud Platform.
Cari jenis log AWS Network Firewall.
Tentukan nilai di kolom berikut.
- Jenis Sumber: Amazon SQS V2
- Nama Antrean: Nama antrean SQS yang akan dibaca
- URI S3: URI bucket.
  - s3://your-log-bucket-name/
    - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.
- Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Dipetakan langsung dari kolom `availability_zone`.
`event.app_proto`	`network.application_protocol`	Dipetakan langsung dari kolom `event.app_proto`, dikonversi menjadi huruf besar jika bukan salah satu nilai yang ditentukan (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 diganti dengan HTTP.
`event.dest_ip`	`target.ip`	Dipetakan langsung dari kolom `event.dest_ip`.
`event.dest_port`	`target.port`	Dipetakan langsung dari kolom `event.dest_port`, dikonversi menjadi bilangan bulat.
`event.event_type`	`additional.fields[event_type_label].key`	Kuncinya dikodekan secara permanen sebagai "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Dipetakan langsung dari kolom `event.event_type`.
`event.flow_id`	`network.session_id`	Dipetakan langsung dari kolom `event.flow_id`, dikonversi menjadi string.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	Kuncinya di-hardcode sebagai "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.age`, dikonversi menjadi string.
`event.netflow.bytes`	`network.sent_bytes`	Dipetakan langsung dari kolom `event.netflow.bytes`, dikonversi menjadi bilangan bulat tidak bertanda.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	Kuncinya dikodekan secara permanen sebagai "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	Kuncinya dikodekan secara permanen sebagai "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.max_ttl`, dikonversi menjadi string.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	Kunci di-hardcode sebagai "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.min_ttl`, dikonversi menjadi string.
`event.netflow.pkts`	`network.sent_packets`	Dipetakan langsung dari kolom `event.netflow.pkts`, dikonversi menjadi bilangan bulat.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	Kunci dikodekan secara permanen sebagai "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Dipetakan langsung dari kolom `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Dipetakan langsung dari kolom `event.proto`. Jika nilainya adalah "IPv6-ICMP", nilai tersebut akan diganti dengan "ICMP".
`event.src_ip`	`principal.ip`	Dipetakan langsung dari kolom `event.src_ip`.
`event.src_port`	`principal.port`	Dipetakan langsung dari kolom `event.src_port`, dikonversi menjadi bilangan bulat.
`event.tcp.syn`	`additional.fields[syn_label].key`	Kunci di-hardcode sebagai "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Dipetakan langsung dari kolom `event.tcp.syn`, dikonversi menjadi string.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	Kuncinya di-hardcode sebagai "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Dipetakan langsung dari kolom `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Dipetakan langsung dari kolom `event_timestamp`, diuraikan sebagai stempel waktu.
`event_timestamp`	`timestamp.seconds`	Dipetakan langsung dari kolom `event_timestamp`, diuraikan sebagai stempel waktu.
`firewall_name`	`metadata.product_event_type`	Dipetakan langsung dari kolom `firewall_name`. Tetapkan ke "NETWORK_CONNECTION" jika `event.src_ip` dan `event.dest_ip` ada, jika tidak, tetapkan ke "GENERIC_EVENT". Dikodekan secara permanen ke "AWS Network Firewall". Dikodekan secara permanen ke "AWS".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.