Coletar registros do AWS Network Firewall

Compatível com:

Este documento explica como ingerir registros do AWS Network Firewall no Google Security Operations. O AWS Network Firewall é um serviço gerenciado que protege sua VPC contra tráfego malicioso. Ao enviar registros do Network Firewall para o Google SecOps, você melhora o monitoramento, a análise e a detecção de ameaças.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Como configurar o Logging para o firewall de rede da AWS

  1. Faça login no Console de Gerenciamento da AWS.
  2. Abra o console da Amazon VPC.
  3. No painel de navegação, selecione Firewalls.
  4. Selecione o nome do firewall que você quer editar.
  5. Selecione a guia Detalhes do firewall.
  6. Na seção Registro, clique em Editar.
  7. Selecione os tipos de registro: Fluxo, Alerta e TLS.

  8. Para cada tipo de registro selecionado, escolha S3 como o tipo de destino.

  9. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS Network Firewall

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro AWS Network Firewall.

  3. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
availability_zone target.resource.attribute.cloud.availability_zone Mapeado diretamente do campo availability_zone.
event.app_proto network.application_protocol Mapeado diretamente do campo event.app_proto, convertido para maiúsculas se não for um dos valores especificados (ikev2, tftp, failed, snmp, tls, ftp). O HTTP2 é substituído por HTTP.
event.dest_ip target.ip Mapeado diretamente do campo event.dest_ip.
event.dest_port target.port Mapeado diretamente do campo event.dest_port e convertido em número inteiro.
event.event_type additional.fields[event_type_label].key A chave é codificada como "event_type".
event.event_type additional.fields[event_type_label].value.string_value Mapeado diretamente do campo event.event_type.
event.flow_id network.session_id Mapeado diretamente do campo event.flow_id e convertido em string.
event.netflow.age additional.fields[netflow_age_label].key A chave é codificada como "netflow_age".
event.netflow.age additional.fields[netflow_age_label].value.string_value Mapeado diretamente do campo event.netflow.age e convertido em string.
event.netflow.bytes network.sent_bytes Mapeado diretamente do campo event.netflow.bytes e convertido em um número inteiro sem sinal.
event.netflow.end additional.fields[netflow_end_label].key A chave é codificada como "netflow_end".
event.netflow.end additional.fields[netflow_end_label].value.string_value Mapeado diretamente do campo event.netflow.end.
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key A chave é codificada como "netflow_max_ttl".
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value Mapeado diretamente do campo event.netflow.max_ttl e convertido em string.
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key A chave é codificada como "netflow_min_ttl".
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value Mapeado diretamente do campo event.netflow.min_ttl e convertido em string.
event.netflow.pkts network.sent_packets Mapeado diretamente do campo event.netflow.pkts e convertido em número inteiro.
event.netflow.start additional.fields[netflow_start_label].key A chave é codificada como "netflow_start".
event.netflow.start additional.fields[netflow_start_label].value.string_value Mapeado diretamente do campo event.netflow.start.
event.proto network.ip_protocol Mapeado diretamente do campo event.proto. Se o valor for "IPv6-ICMP", ele será substituído por "ICMP".
event.src_ip principal.ip Mapeado diretamente do campo event.src_ip.
event.src_port principal.port Mapeado diretamente do campo event.src_port e convertido em número inteiro.
event.tcp.syn additional.fields[syn_label].key A chave é fixada no código como "syn".
event.tcp.syn additional.fields[syn_label].value.string_value Mapeado diretamente do campo event.tcp.syn e convertido em string.
event.tcp.tcp_flags additional.fields[tcp_flags_label].key A chave é fixada no código como "tcp_flags".
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value Mapeado diretamente do campo event.tcp.tcp_flags.
event_timestamp metadata.event_timestamp.seconds Mapeado diretamente do campo event_timestamp e analisado como um carimbo de data/hora.
event_timestamp timestamp.seconds Mapeado diretamente do campo event_timestamp e analisado como um carimbo de data/hora.
firewall_name metadata.product_event_type Mapeado diretamente do campo firewall_name. Definido como "NETWORK_CONNECTION" se event.src_ip e event.dest_ip estiverem presentes. Caso contrário, definido como "GENERIC_EVENT". Codificado como "AWS Network Firewall". Codificado como "AWS".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.