このページは Cloud Translation API によって翻訳されました。

AWS Network Firewall ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、AWS Network Firewall ログを Google Security Operations に取り込む方法について説明します。AWS Network Firewall は、悪意のあるトラフィックから VPC を保護するマネージドサービスです。Network Firewall ログを Google SecOps に送信することで、モニタリング、分析、脅威検出を改善できます。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
AWS への特権アクセス

AWS ネットワークファイアウォールのロギングを構成する方法

AWS Management Console にログインします。
Amazon VPC コンソールを開きます。
ナビゲーションパネルで [ファイアウォール] を選択します。
編集するファイアウォールの名前を選択します。
[ファイアウォールの詳細] タブを選択します。
[ロギング] セクションで [編集] をクリックします。
ログタイプとして [Flow]、[Alert]、[TLS] を選択します。
選択したログタイプごとに、宛先タイプとして [S3] を選択します。

注: 既存のログタイプの宛先を変更するには、まずポリシーのロギングを無効にする必要があります。
次に、ポリシーを編集して、ログタイプの新しい宛先を指定します。
[保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード] > [新しいフィードを追加]
Content Hub > Content Packs > Get Started

AWS ネットワークファイアウォールフィードを設定する方法

[Amazon Cloud Platform] パックをクリックします。
[AWS Network Firewall] ログタイプを見つけます。
次のフィールドで値を指定します。
- ソースタイプ: Amazon SQS V2
- キュー名: 読み取る SQS キュー名
- S3 URI: バケット URI。
  - s3://your-log-bucket-name/
    - your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- SQS キューアクセスキー ID: 20 文字の英数字の文字列であるアカウントアクセスキー。
- SQS キューのシークレットアクセスキー: 40 文字の英数字の文字列であるアカウントアクセスキー。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[フィードを作成] をクリックします。

このプロダクトファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	`availability_zone` フィールドから直接マッピングされます。
`event.app_proto`	`network.application_protocol`	`event.app_proto` フィールドから直接マッピングされ、指定された値（ikev2、tftp、failed、snmp、tls、ftp）のいずれでもない場合は大文字に変換されます。HTTP2 は HTTP に置き換えられます。
`event.dest_ip`	`target.ip`	`event.dest_ip` フィールドから直接マッピングされます。
`event.dest_port`	`target.port`	`event.dest_port` フィールドから直接マッピングされ、整数に変換されます。
`event.event_type`	`additional.fields[event_type_label].key`	キーは「event_type」としてハードコードされています。
`event.event_type`	`additional.fields[event_type_label].value.string_value`	`event.event_type` フィールドから直接マッピングされます。
`event.flow_id`	`network.session_id`	`event.flow_id` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.age`	`additional.fields[netflow_age_label].key`	キーは「netflow_age」としてハードコードされています。
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	`event.netflow.age` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.bytes`	`network.sent_bytes`	`event.netflow.bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`event.netflow.end`	`additional.fields[netflow_end_label].key`	キーは「netflow_end」としてハードコードされています。
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	`event.netflow.end` フィールドから直接マッピングされます。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	キーは「netflow_max_ttl」としてハードコードされています。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	`event.netflow.max_ttl` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	キーは「netflow_min_ttl」としてハードコードされています。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	`event.netflow.min_ttl` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.pkts`	`network.sent_packets`	`event.netflow.pkts` フィールドから直接マッピングされ、整数に変換されます。
`event.netflow.start`	`additional.fields[netflow_start_label].key`	キーは「netflow_start」としてハードコードされています。
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	`event.netflow.start` フィールドから直接マッピングされます。
`event.proto`	`network.ip_protocol`	`event.proto` フィールドから直接マッピングされます。値が「IPv6-ICMP」の場合は、「ICMP」に置き換えられます。
`event.src_ip`	`principal.ip`	`event.src_ip` フィールドから直接マッピングされます。
`event.src_port`	`principal.port`	`event.src_port` フィールドから直接マッピングされ、整数に変換されます。
`event.tcp.syn`	`additional.fields[syn_label].key`	キーは「syn」としてハードコードされています。
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	`event.tcp.syn` フィールドから直接マッピングされ、文字列に変換されます。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	キーは「tcp_flags」としてハードコードされています。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	`event.tcp.tcp_flags` フィールドから直接マッピングされます。
`event_timestamp`	`metadata.event_timestamp.seconds`	`event_timestamp` フィールドから直接マッピングされ、タイムスタンプとして解析されます。
`event_timestamp`	`timestamp.seconds`	`event_timestamp` フィールドから直接マッピングされ、タイムスタンプとして解析されます。
`firewall_name`	`metadata.product_event_type`	`firewall_name` フィールドから直接マッピングされます。`event.src_ip` と `event.dest_ip` の両方が存在する場合は「NETWORK_CONNECTION」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。「AWS Network Firewall」にハードコードされています。「AWS」にハードコードされています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。