AWS Network Firewall 로그 수집

다음에서 지원:

이 문서에서는 AWS 네트워크 방화벽 로그를 Google Security Operations로 수집하는 방법을 설명합니다. AWS Network Firewall는 악의적인 트래픽으로부터 VPC를 보호하는 관리형 서비스입니다. 네트워크 방화벽 로그를 Google SecOps로 전송하면 모니터링, 분석, 위협 감지를 개선할 수 있습니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • AWS에 대한 권한이 있는지 확인합니다.

AWS Network Firewall의 로깅 구성

  1. AWS 관리 콘솔에 로그인합니다.
  2. Amazon VPC 콘솔을 엽니다.
  3. 탐색창에서 방화벽을 선택합니다.
  4. 수정할 방화벽의 이름을 선택합니다.
  5. 방화벽 세부정보 탭을 선택합니다.
  6. 로깅 섹션에서 수정을 클릭합니다.
  7. 로그 유형(흐름, 알림, TLS)을 선택합니다.

  8. 선택한 각 로그 유형에 대해 대상 유형으로 S3를 선택합니다.

  9. 저장을 클릭합니다.

AWS Network Firewall 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: AWS Network Firewall Logs).
  4. 소스 유형으로 Amazon S3를 선택합니다.
  5. 로그 유형으로 AWS 네트워크 방화벽을 선택합니다.
  6. 다음을 클릭합니다.

  7. 다음 입력 매개변수의 값을 지정합니다.

    • 리전: Amazon S3 버킷이 있는 리전입니다.
    • S3 URI: 버킷 URI입니다.
      • s3://your-log-bucket-name/
        • your-log-bucket-name을 버킷의 실제 이름으로 바꿉니다.
    • URI: 디렉터리 또는 하위 디렉터리가 포함된 디렉터리를 선택합니다.

    • 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.

    • 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키입니다.

    • 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.

    • 애셋 네임스페이스: 애셋 네임스페이스입니다.

    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  8. 다음을 클릭합니다.

  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
availability_zone target.resource.attribute.cloud.availability_zone availability_zone 필드에서 직접 매핑됩니다.
event.app_proto network.application_protocol event.app_proto 필드에서 직접 매핑되며 지정된 값 (ikev2, tftp, failed, snmp, tls, ftp) 중 하나가 아닌 경우 대문자로 변환됩니다. HTTP2가 HTTP로 대체됩니다.
event.dest_ip target.ip event.dest_ip 필드에서 직접 매핑됩니다.
event.dest_port target.port event.dest_port 필드에서 직접 매핑되고 정수로 변환됩니다.
event.event_type additional.fields[event_type_label].key 키는 'event_type'으로 하드코딩됩니다.
event.event_type additional.fields[event_type_label].value.string_value event.event_type 필드에서 직접 매핑됩니다.
event.flow_id network.session_id event.flow_id 필드에서 직접 매핑되고 문자열로 변환됩니다.
event.netflow.age additional.fields[netflow_age_label].key 키는 'netflow_age'로 하드코딩됩니다.
event.netflow.age additional.fields[netflow_age_label].value.string_value event.netflow.age 필드에서 직접 매핑되고 문자열로 변환됩니다.
event.netflow.bytes network.sent_bytes event.netflow.bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
event.netflow.end additional.fields[netflow_end_label].key 키는 'netflow_end'로 하드코딩됩니다.
event.netflow.end additional.fields[netflow_end_label].value.string_value event.netflow.end 필드에서 직접 매핑됩니다.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key 키는 'netflow_max_ttl'로 하드코딩됩니다.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value event.netflow.max_ttl 필드에서 직접 매핑되고 문자열로 변환됩니다.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key 키는 'netflow_min_ttl'로 하드코딩됩니다.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value event.netflow.min_ttl 필드에서 직접 매핑되고 문자열로 변환됩니다.
event.netflow.pkts network.sent_packets event.netflow.pkts 필드에서 직접 매핑되고 정수로 변환됩니다.
event.netflow.start additional.fields[netflow_start_label].key 키는 'netflow_start'로 하드코딩됩니다.
event.netflow.start additional.fields[netflow_start_label].value.string_value event.netflow.start 필드에서 직접 매핑됩니다.
event.proto network.ip_protocol event.proto 필드에서 직접 매핑됩니다. 값이 'IPv6-ICMP'인 경우 'ICMP'로 대체됩니다.
event.src_ip principal.ip event.src_ip 필드에서 직접 매핑됩니다.
event.src_port principal.port event.src_port 필드에서 직접 매핑되고 정수로 변환됩니다.
event.tcp.syn additional.fields[syn_label].key 키는 'syn'으로 하드 코딩됩니다.
event.tcp.syn additional.fields[syn_label].value.string_value event.tcp.syn 필드에서 직접 매핑되고 문자열로 변환됩니다.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key 키는 'tcp_flags'로 하드 코딩됩니다.
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value event.tcp.tcp_flags 필드에서 직접 매핑됩니다.
event_timestamp metadata.event_timestamp.seconds event_timestamp 필드에서 직접 매핑되며 타임스탬프로 파싱됩니다.
event_timestamp timestamp.seconds event_timestamp 필드에서 직접 매핑되며 타임스탬프로 파싱됩니다.
firewall_name metadata.product_event_type firewall_name 필드에서 직접 매핑됩니다. event.src_ipevent.dest_ip가 모두 있는 경우 'NETWORK_CONNECTION'으로 설정하고 그렇지 않은 경우 'GENERIC_EVENT'로 설정합니다. 'AWS Network Firewall'로 하드코딩됩니다. 'AWS'로 하드코딩됩니다.

변경사항

2023-05-05

  • 파서를 새로 만들었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.