此页面由 Cloud Translation API 翻译。

收集 AWS Network Firewall 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何将 AWS 网络防火墙日志注入到 Google Security Operations。AWS Network Firewall 是一项代管式服务，可为您的 VPC 提供保护，防范恶意流量。通过将网络防火墙日志发送到 Google SecOps，您可以改进监控、分析和威胁检测。

准备工作

确保您满足以下前提条件：

Google SecOps 实例
对 AWS 的特权访问权限

如何为 AWS 网络防火墙配置日志记录

登录 AWS Management Console。
打开 Amazon VPC 控制台。
在导航窗格中，选择防火墙。
选择要修改的防火墙的名称。
选择防火墙详情标签页。
在日志记录部分，点击修改。
选择日志类型：Flow、Alert 和 TLS。
为每个所选日志类型选择 S3 作为目标类型。

注意：如需更改现有日志类型的目标位置，您必须先停用相应政策的日志记录功能。
然后，修改政策并为日志类型指定新的目标位置。
点击保存。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed
内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

如需配置单个 Feed，请按以下步骤操作：

依次前往 SIEM 设置> Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称（例如 AWS 网络防火墙日志）。
选择 Amazon S3 作为来源类型。
选择 AWS 网络防火墙作为日志类型。
点击下一步。
为以下输入参数指定值：
- 区域：Amazon S3 存储桶所在的区域。
- S3 URI：存储桶 URI。
  - s3://your-log-bucket-name/
    - 将 your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
- URI is a：根据您的存储桶结构，选择目录或目录（包括子目录）。
- 源删除选项：根据您的提取偏好设置选择删除选项。
  
  注意：如果您选择 Delete transferred files 或 Delete transferred files and empty directories 选项，请确保您已向服务账号授予适当的权限。
- 访问密钥 ID：有权从 S3 存储桶读取数据的用户的访问密钥。
- 私有访问密钥：具有从 S3 存储桶读取权限的用户的私有密钥。
- 资源命名空间：资源命名空间。
- 注入标签：要应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置，然后点击提交。

设置来自内容中心的 Feed

为以下字段指定值：

区域：Amazon S3 存储桶所在的区域。
S3 URI：存储桶 URI。
- s3://your-log-bucket-name/
  - 将 your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
URI is a：根据您的存储桶结构，选择目录或目录（包括子目录）。
源删除选项：根据您的提取偏好设置选择删除选项。
访问密钥 ID：有权从 S3 存储桶读取数据的用户的访问密钥。
私有访问密钥：具有从 S3 存储桶读取权限的用户的私有密钥。

高级选项

Feed 名称：用于标识 Feed 的预填充值。
来源类型：用于将日志收集到 Google SecOps 中的方法。
资产命名空间：与 Feed 关联的命名空间。
提取标签：应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段	UDM 映射	逻辑
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	直接从 `availability_zone` 字段映射。
`event.app_proto`	`network.application_protocol`	直接从 `event.app_proto` 字段映射，如果不是指定值（ikev2、tftp、failed、snmp、tls、ftp）之一，则转换为大写。HTTP2 已替换为 HTTP。
`event.dest_ip`	`target.ip`	直接从 `event.dest_ip` 字段映射。
`event.dest_port`	`target.port`	直接从 `event.dest_port` 字段映射，转换为整数。
`event.event_type`	`additional.fields[event_type_label].key`	该键硬编码为“event_type”。
`event.event_type`	`additional.fields[event_type_label].value.string_value`	直接从 `event.event_type` 字段映射。
`event.flow_id`	`network.session_id`	直接从 `event.flow_id` 字段映射，并转换为字符串。
`event.netflow.age`	`additional.fields[netflow_age_label].key`	该键硬编码为“netflow_age”。
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	直接从 `event.netflow.age` 字段映射，并转换为字符串。
`event.netflow.bytes`	`network.sent_bytes`	直接从 `event.netflow.bytes` 字段映射，转换为无符号整数。
`event.netflow.end`	`additional.fields[netflow_end_label].key`	该键硬编码为“netflow_end”。
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	直接从 `event.netflow.end` 字段映射。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	该键硬编码为“netflow_max_ttl”。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	直接从 `event.netflow.max_ttl` 字段映射，并转换为字符串。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	该键硬编码为“netflow_min_ttl”。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	直接从 `event.netflow.min_ttl` 字段映射，并转换为字符串。
`event.netflow.pkts`	`network.sent_packets`	直接从 `event.netflow.pkts` 字段映射，转换为整数。
`event.netflow.start`	`additional.fields[netflow_start_label].key`	该键硬编码为“netflow_start”。
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	直接从 `event.netflow.start` 字段映射。
`event.proto`	`network.ip_protocol`	直接从 `event.proto` 字段映射。如果值为“IPv6-ICMP”，则替换为“ICMP”。
`event.src_ip`	`principal.ip`	直接从 `event.src_ip` 字段映射。
`event.src_port`	`principal.port`	直接从 `event.src_port` 字段映射，转换为整数。
`event.tcp.syn`	`additional.fields[syn_label].key`	该键已硬编码为“syn”。
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	直接从 `event.tcp.syn` 字段映射，并转换为字符串。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	该键已硬编码为“tcp_flags”。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	直接从 `event.tcp.tcp_flags` 字段映射。
`event_timestamp`	`metadata.event_timestamp.seconds`	直接从 `event_timestamp` 字段映射，解析为时间戳。
`event_timestamp`	`timestamp.seconds`	直接从 `event_timestamp` 字段映射，解析为时间戳。
`firewall_name`	`metadata.product_event_type`	直接从 `firewall_name` 字段映射。如果 `event.src_ip` 和 `event.dest_ip` 都存在，则设置为“NETWORK_CONNECTION”，否则设置为“GENERIC_EVENT”。硬编码为“AWS Network Firewall”。硬编码为“AWS”。