AWS Route 53-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie AWS CloudTrail so konfigurieren, dass AWS Route 53-DNS-Logs in einem S3-Bucket gespeichert und die Logs von S3 in Google Security Operations aufgenommen werden. Amazon Route 53 bietet DNS-Abfragelogging und die Möglichkeit, Ihre Ressourcen mithilfe von Systemdiagnosen zu überwachen. Route 53 ist in AWS CloudTrail integriert. Dieser Dienst zeichnet Aktionen auf, die von einem Nutzer, einer Rolle oder einem AWS-Dienst in Route 53 ausgeführt werden.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Privilegierter Zugriff auf AWS
AWS CloudTrail und Route 53 konfigurieren
- Melden Sie sich in der AWS-Konsole an.
- Suchen Sie nach Cloudtrail.
- Wenn Sie noch keinen Trail haben, klicken Sie auf Trail erstellen.
- Geben Sie einen Namen für den Testlauf an .
- Wählen Sie Neuen S3-Bucket erstellen aus. Sie können auch einen vorhandenen S3-Bucket verwenden.
- Geben Sie einen Namen für den AWS KMS-Alias ein oder wählen Sie einen vorhandenen AWS KMS-Schlüssel aus.
- Lassen Sie die anderen Einstellungen unverändert und klicken Sie auf Weiter.
- Wählen Sie Event type (Ereignistyp) aus und achten Sie darauf, dass Management events (Verwaltungsereignisse) ausgewählt ist. Diese Ereignisse enthalten Route 53-API-Aufrufe.
- Klicken Sie auf Weiter.
- Prüfen Sie die Einstellungen unter Überprüfen und erstellen.
- Klicken Sie auf Trail erstellen.
- Suchen Sie in der AWS-Konsole nach S3.
- Klicken Sie auf den neu erstellten Log-Bucket und wählen Sie den Ordner AWSLogs aus .
- Klicken Sie auf S3-URI kopieren und speichern Sie sie.
AWS IAM-Nutzer konfigurieren
- Suchen Sie in der AWS-Konsole nach IAM.
- Klicken Sie auf Nutzer.
- Klicken Sie auf Nutzer hinzufügen.
- Geben Sie einen Namen für den Nutzer an, z. B. „chronicle-feed-user“.
- Wählen Sie Zugriffsschlüssel – programmatischer Zugriff als AWS-Anmeldedatentyp aus.
- Klicken Sie auf Next: Permissions.
- Wählen Sie Vorhandene Richtlinien direkt anhängen aus.
- Wählen Sie AmazonS3ReadOnlyAccess oder AmazonS3FullAccess aus.
- Klicken Sie auf Weiter: Tags.
- Optional: Fügen Sie bei Bedarf Tags hinzu.
- Klicken Sie auf Weiter: Überprüfen.
- Überprüfen Sie die Konfiguration und klicken Sie auf Nutzer erstellen.
- Kopieren Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des erstellten Nutzers.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. AWS Route 53 Logs (AWS Route 53-Logs).
- Wählen Sie Amazon S3 als Quelltyp aus.
- Wählen Sie AWS Route 53 als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3:/BUCKET_NAME- Ersetzen Sie
BUCKET_NAMEdurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI.
s3://your-log-bucket-name/- Ersetzen Sie
your-log-bucket-namedurch den tatsächlichen Namen Ihres S3-Buckets.
- Ersetzen Sie
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
Access Key ID (Zugriffsschlüssel-ID): Der Zugriffsschlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Berechtigungen zum Lesen aus dem S3-Bucket.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Die Konto-ID von Tinfoil Security | read_only_udm.principal.resource.product_object_id | Die AWS-Konto-ID, die der Anfrage zugeordnet ist. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | Die ID der Domainliste, zu der die abgefragte Domain gehört. |
| firewall_rule_action | read_only_udm.security_result.action | Die Aktion, die von der Firewallregel ausgeführt wurde, die mit der Abfrage übereinstimmt. Mögliche Werte sind „ALLOW“, „BLOCK“ oder „UNKNOWN_ACTION“, wenn die Aktion nicht erkannt wird. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | Die ID der Firewallregelgruppe, die mit der Abfrage übereinstimmt. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | Die eindeutige ID des Logereignisses. Wird als Fallback verwendet, wenn „account_id“ nicht vorhanden ist. |
| logEvents{}.message | Dieses Feld wird je nach Format in andere UDM-Felder geparst. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Der Zeitpunkt, zu dem die DNS-Abfrage protokolliert wurde. |
| messageType | Mit diesem Feld wird die Struktur der Log-Nachricht festgelegt. | |
| Inhaber | read_only_udm.principal.user.userid | Die AWS-Konto-ID des Inhabers des Protokolls. |
| query_class | read_only_udm.network.dns.questions.class | Die Klasse der DNS-Abfrage. |
| query_name | read_only_udm.network.dns.questions.name | Der Domainname, der abgefragt wurde. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Der Zeitpunkt, zu dem die DNS-Abfrage gestellt wurde. |
| query_type | read_only_udm.metadata.product_event_type | Der Typ der DNS-Abfrage. |
| rcode | read_only_udm.metadata.description | Der Antwortcode der DNS-Abfrage. |
| Region | read_only_udm.principal.location.name | Die AWS-Region, aus der die Anfrage stammt. |
| srcaddr | read_only_udm.principal.ip | Die IP-Adresse des Clients, der die DNS-Abfrage gestellt hat. |
| srcids.instance | read_only_udm.principal.hostname | Die Instanz-ID des Clients, der die DNS-Abfrage gestellt hat. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | Die Endpunkt-ID des Resolvers, der die Anfrage bearbeitet hat. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | Die ID der Netzwerkschnittstelle des Resolvers, der die Abfrage verarbeitet hat. |
| srcport | read_only_udm.principal.port | Die Portnummer des Clients, der die DNS-Abfrage gestellt hat. |
| transport | read_only_udm.network.ip_protocol | Das für die DNS-Abfrage verwendete Transportprotokoll. |
| Version | read_only_udm.metadata.product_version | Die Version des Route 53 Resolver-Abfragelogformats. |
| – | read_only_udm.metadata.event_type | Fest codiert auf „NETWORK_DNS“. |
| – | read_only_udm.metadata.product_name | Fest codiert auf „AWS Route 53“. |
| – | read_only_udm.metadata.vendor_name | Fest codiert auf „AMAZON“. |
| – | read_only_udm.principal.cloud.environment | Fest codiert auf „AMAZON_WEB_SERVICES“. |
| – | read_only_udm.network.application_protocol | Fest codiert auf „DNS“. |
| – | read_only_udm.network.dns.response_code | Wird aus dem Feld „rcode“ mithilfe einer Nachschlagetabelle zugeordnet. |
| – | read_only_udm.network.dns.questions.type | Wird über eine Nachschlagetabelle aus dem Feld „query_type“ zugeordnet. |
| – | read_only_udm.metadata.product_deployment_id | Aus dem Feld „logevent.message_data“ mit dem Grok-Muster extrahiert. |
| – | read_only_udm.network.dns.authority.name | Aus dem Feld „logevent.message_data“ mit dem Grok-Muster extrahiert. |
| – | read_only_udm.security_result.rule_labels.key | Wird je nach verfügbaren Feldern auf „firewall_domain_list_id“, „resolver_endpoint“ oder „resolver_network_interface“ festgelegt. |
| – | read_only_udm.security_result.action_details | Wird auf den Wert von „firewall_rule_action“ festgelegt, wenn dieser nicht „ALLOW“ oder „BLOCK“ ist. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten