Esta página foi traduzida pela API Cloud Translation.

Coletar registros do firewall de rede da AWS

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do AWS Network Firewall no Google Security Operations. O AWS Network Firewall é um serviço gerenciado que protege sua VPC contra tráfego malicioso. Ao enviar registros do Network Firewall para o Google SecOps, você melhora o monitoramento, a análise e a detecção de ameaças.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Acesso privilegiado à AWS

Como configurar o Logging para o firewall de rede da AWS

Faça login no Console de Gerenciamento da AWS.
Abra o console da Amazon VPC.
No painel de navegação, selecione Firewalls.
Selecione o nome do firewall que você quer editar.
Selecione a guia Detalhes do firewall.
Na seção Registro, clique em Editar.
Selecione os tipos de registro: Fluxo, Alerta e TLS.
Para cada tipo de registro selecionado, escolha S3 como o tipo de destino.

Observação: para mudar o destino de um tipo de registro atual, primeiro desative o registro em log da política.
Em seguida, edite a política e especifique os novos destinos para o tipo de registro.
Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do firewall de rede da AWS).
Selecione Amazon S3 como o Tipo de origem.
Selecione AWS Network Firewall como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
  - s3://your-log-bucket-name/
    - Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
- URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
- ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
- Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Região: a região em que o bucket do Amazon S3 está localizado.
URI do S3: o URI do bucket.
- s3://your-log-bucket-name/
  - Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.
Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Mapeado diretamente do campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Mapeado diretamente do campo `event.app_proto`, convertido para maiúsculas se não for um dos valores especificados (ikev2, tftp, failed, snmp, tls, ftp). O HTTP2 é substituído por HTTP.
`event.dest_ip`	`target.ip`	Mapeado diretamente do campo `event.dest_ip`.
`event.dest_port`	`target.port`	Mapeado diretamente do campo `event.dest_port` e convertido em número inteiro.
`event.event_type`	`additional.fields[event_type_label].key`	A chave é codificada como "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Mapeado diretamente do campo `event.event_type`.
`event.flow_id`	`network.session_id`	Mapeado diretamente do campo `event.flow_id` e convertido em string.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	A chave é codificada como "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Mapeado diretamente do campo `event.netflow.age` e convertido em string.
`event.netflow.bytes`	`network.sent_bytes`	Mapeado diretamente do campo `event.netflow.bytes` e convertido em um número inteiro sem sinal.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	A chave é codificada como "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Mapeado diretamente do campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	A chave é codificada como "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Mapeado diretamente do campo `event.netflow.max_ttl` e convertido em string.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	A chave é codificada como "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Mapeado diretamente do campo `event.netflow.min_ttl` e convertido em string.
`event.netflow.pkts`	`network.sent_packets`	Mapeado diretamente do campo `event.netflow.pkts` e convertido em número inteiro.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	A chave é codificada como "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Mapeado diretamente do campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Mapeado diretamente do campo `event.proto`. Se o valor for "IPv6-ICMP", ele será substituído por "ICMP".
`event.src_ip`	`principal.ip`	Mapeado diretamente do campo `event.src_ip`.
`event.src_port`	`principal.port`	Mapeado diretamente do campo `event.src_port` e convertido em número inteiro.
`event.tcp.syn`	`additional.fields[syn_label].key`	A chave é fixada no código como "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Mapeado diretamente do campo `event.tcp.syn` e convertido em string.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	A chave é fixada no código como "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Mapeado diretamente do campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Mapeado diretamente do campo `event_timestamp` e analisado como um carimbo de data/hora.
`event_timestamp`	`timestamp.seconds`	Mapeado diretamente do campo `event_timestamp` e analisado como um carimbo de data/hora.
`firewall_name`	`metadata.product_event_type`	Mapeado diretamente do campo `firewall_name`. Definido como "NETWORK_CONNECTION" se `event.src_ip` e `event.dest_ip` estiverem presentes. Caso contrário, definido como "GENERIC_EVENT". Codificado como "AWS Network Firewall". Codificado como "AWS".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.