收集 AWS Network Firewall 日志

支持的语言:

本文档介绍了如何将 AWS 网络防火墙日志注入到 Google Security Operations。AWS Network Firewall 是一项代管式服务,可保护您的 VPC 免受恶意流量的侵害。通过将网络防火墙日志发送到 Google SecOps,您可以改进监控、分析和威胁检测。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

如何为 AWS 网络防火墙配置日志记录

  1. 登录 AWS Management Console
  2. 打开 Amazon VPC 控制台
  3. 在导航窗格中,选择防火墙
  4. 选择要修改的防火墙的名称。
  5. 选择防火墙详情标签页。
  6. 日志记录部分,点击修改
  7. 选择日志类型:FlowAlertTLS

  8. 为每个所选日志类型选择 S3 作为目标类型。

  9. 点击保存

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 AWS 网络防火墙 Feed

  1. 点击 Amazon Cloud Platform 包。
  2. 找到 AWS Network Firewall 日志类型。

  3. 在以下字段中指定值。

    • 来源类型:Amazon SQS V2
    • 队列名称:要从中读取数据的 SQS 队列名称
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。

    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。

    • SQS 队列访问密钥 ID:一个包含 20 个字符的字母数字字符串形式的账号访问密钥。

    • SQS 队列私有访问密钥:一个包含 40 个字符的字母数字字符串形式的账号访问密钥。

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于相应 Feed 中所有事件的标签。

  4. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

UDM 映射表

日志字段 UDM 映射 逻辑
availability_zone target.resource.attribute.cloud.availability_zone 直接从 availability_zone 字段映射。
event.app_proto network.application_protocol 直接从 event.app_proto 字段映射,如果不是指定值(ikev2、tftp、failed、snmp、tls、ftp)之一,则转换为大写。HTTP2 已替换为 HTTP。
event.dest_ip target.ip 直接从 event.dest_ip 字段映射。
event.dest_port target.port 直接从 event.dest_port 字段映射,转换为整数。
event.event_type additional.fields[event_type_label].key 该键硬编码为“event_type”。
event.event_type additional.fields[event_type_label].value.string_value 直接从 event.event_type 字段映射。
event.flow_id network.session_id 直接从 event.flow_id 字段映射,并转换为字符串。
event.netflow.age additional.fields[netflow_age_label].key 该键硬编码为“netflow_age”。
event.netflow.age additional.fields[netflow_age_label].value.string_value 直接从 event.netflow.age 字段映射,并转换为字符串。
event.netflow.bytes network.sent_bytes 直接从 event.netflow.bytes 字段映射,转换为无符号整数。
event.netflow.end additional.fields[netflow_end_label].key 该键硬编码为“netflow_end”。
event.netflow.end additional.fields[netflow_end_label].value.string_value 直接从 event.netflow.end 字段映射。
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].key 该键硬编码为“netflow_max_ttl”。
event.netflow.max_ttl additional.fields[netflow_max_ttl_label].value.string_value 直接从 event.netflow.max_ttl 字段映射,并转换为字符串。
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].key 该键已硬编码为“netflow_min_ttl”。
event.netflow.min_ttl additional.fields[netflow_min_ttl_label].value.string_value 直接从 event.netflow.min_ttl 字段映射,并转换为字符串。
event.netflow.pkts network.sent_packets 直接从 event.netflow.pkts 字段映射,转换为整数。
event.netflow.start additional.fields[netflow_start_label].key 该键硬编码为“netflow_start”。
event.netflow.start additional.fields[netflow_start_label].value.string_value 直接从 event.netflow.start 字段映射。
event.proto network.ip_protocol 直接从 event.proto 字段映射。如果值为“IPv6-ICMP”,则替换为“ICMP”。
event.src_ip principal.ip 直接从 event.src_ip 字段映射。
event.src_port principal.port 直接从 event.src_port 字段映射,转换为整数。
event.tcp.syn additional.fields[syn_label].key 该键已硬编码为“syn”。
event.tcp.syn additional.fields[syn_label].value.string_value 直接从 event.tcp.syn 字段映射,并转换为字符串。
event.tcp.tcp_flags additional.fields[tcp_flags_label].key 该键已硬编码为“tcp_flags”。
event.tcp.tcp_flags additional.fields[tcp_flags_label].value.string_value 直接从 event.tcp.tcp_flags 字段映射。
event_timestamp metadata.event_timestamp.seconds 直接从 event_timestamp 字段映射,解析为时间戳。
event_timestamp timestamp.seconds 直接从 event_timestamp 字段映射,解析为时间戳。
firewall_name metadata.product_event_type 直接从 firewall_name 字段映射。如果 event.src_ipevent.dest_ip 都存在,则设置为“NETWORK_CONNECTION”,否则设置为“GENERIC_EVENT”。硬编码为“AWS Network Firewall”。硬编码为“AWS”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。