本頁面由 Cloud Translation API 翻譯而成。

收集 AWS Network Firewall 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何將 AWS Network Firewall 記錄擷取至 Google Security Operations。AWS Network Firewall 是一項代管服務，可保護 VPC 免受惡意流量侵擾。將網路防火牆記錄傳送至 Google SecOps，有助於提升監控、分析和威脅偵測能力。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
AWS 的特殊存取權

如何設定 AWS Network Firewall 的記錄功能

登入 AWS 管理主控台。
開啟 Amazon VPC 主控台。
在導覽窗格中，選取「Firewalls」(防火牆)。
選取要編輯的防火牆名稱。
選取「防火牆詳細資料」分頁標籤。
在「記錄」部分中，按一下「編輯」。
選取記錄類型：「Flow」、「Alert」和「TLS」。
為每個選取的記錄類型選擇「S3」S3做為目的地類型。

注意： 如要變更現有記錄類型的目的地，請先停用政策的記錄功能。
接著編輯政策，並為記錄類型指定新的目的地。
按一下 [儲存]。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」，設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

如要設定單一動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱 (例如「AWS Network Firewall Logs」)。
選取「Amazon S3」做為「來源類型」。
選取「AWS Network Firewall」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- 區域：Amazon S3 值區所在的區域。
- S3 URI：bucket URI。
  - s3://your-log-bucket-name/
    - 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
- URI 是：根據 bucket 結構，選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項：根據擷取偏好設定選取刪除選項。
  
  注意： 如果選取 Delete transferred files 或 Delete transferred files and empty directories 選項，請務必授予服務帳戶適當的權限。
- 存取金鑰 ID：具備 S3 值區讀取權限的使用者存取金鑰。
- 存取密鑰：使用者的存取密鑰，具備從 S3 bucket 讀取的權限。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

區域：Amazon S3 值區所在的區域。
S3 URI：bucket URI。
- s3://your-log-bucket-name/
  - 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
URI 是：根據 bucket 結構，選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項：根據擷取偏好設定選取刪除選項。
存取金鑰 ID：具備 S3 值區讀取權限的使用者存取金鑰。
存取密鑰：使用者的存取密鑰，具備從 S3 bucket 讀取的權限。

進階選項

動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	直接從「`availability_zone`」欄位對應。
`event.app_proto`	`network.application_protocol`	直接從 `event.app_proto` 欄位對應，如果不是指定值 (ikev2、tftp、failed、snmp、tls、ftp)，則會轉換為大寫。HTTP2 會替換為 HTTP。
`event.dest_ip`	`target.ip`	直接從「`event.dest_ip`」欄位對應。
`event.dest_port`	`target.port`	直接從 `event.dest_port` 欄位對應，並轉換為整數。
`event.event_type`	`additional.fields[event_type_label].key`	索引鍵會以硬式編碼寫成「event_type」。
`event.event_type`	`additional.fields[event_type_label].value.string_value`	直接從「`event.event_type`」欄位對應。
`event.flow_id`	`network.session_id`	直接從 `event.flow_id` 欄位對應，並轉換為字串。
`event.netflow.age`	`additional.fields[netflow_age_label].key`	索引鍵是以硬式編碼寫成「netflow_age」。
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	直接從 `event.netflow.age` 欄位對應，並轉換為字串。
`event.netflow.bytes`	`network.sent_bytes`	直接從 `event.netflow.bytes` 欄位對應，並轉換為不帶正負號的整數。
`event.netflow.end`	`additional.fields[netflow_end_label].key`	金鑰會以硬式編碼寫成「netflow_end」。
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	直接從「`event.netflow.end`」欄位對應。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	金鑰會以硬式編碼寫成「netflow_max_ttl」。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	直接從 `event.netflow.max_ttl` 欄位對應，並轉換為字串。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	金鑰會以硬式編碼寫成「netflow_min_ttl」。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	直接從 `event.netflow.min_ttl` 欄位對應，並轉換為字串。
`event.netflow.pkts`	`network.sent_packets`	直接從 `event.netflow.pkts` 欄位對應，並轉換為整數。
`event.netflow.start`	`additional.fields[netflow_start_label].key`	金鑰會以硬式編碼寫成「netflow_start」。
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	直接從「`event.netflow.start`」欄位對應。
`event.proto`	`network.ip_protocol`	直接從「`event.proto`」欄位對應。如果值為「IPv6-ICMP」，則會替換為「ICMP」。
`event.src_ip`	`principal.ip`	直接從「`event.src_ip`」欄位對應。
`event.src_port`	`principal.port`	直接從 `event.src_port` 欄位對應，並轉換為整數。
`event.tcp.syn`	`additional.fields[syn_label].key`	索引鍵是以硬式編碼方式指定為「syn」。
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	直接從 `event.tcp.syn` 欄位對應，並轉換為字串。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	索引鍵會以硬式編碼方式指定為「tcp_flags」。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	直接從「`event.tcp.tcp_flags`」欄位對應。
`event_timestamp`	`metadata.event_timestamp.seconds`	直接從 `event_timestamp` 欄位對應，並剖析為時間戳記。
`event_timestamp`	`timestamp.seconds`	直接從 `event_timestamp` 欄位對應，並剖析為時間戳記。
`firewall_name`	`metadata.product_event_type`	直接從「`firewall_name`」欄位對應。如果同時存在 `event.src_ip` 和 `event.dest_ip`，請設為「NETWORK_CONNECTION」，否則請設為「GENERIC_EVENT」。硬式編碼為「AWS Network Firewall」。硬式編碼為「AWS」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。