Recopila registros de AWS Route 53
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo configurar AWS CloudTrail para almacenar los registros de DNS de AWS Route 53 en un bucket de S3 y transferir los registros de S3 a Google Security Operations. Amazon Route 53 proporciona el registro de consultas de DNS y la capacidad de supervisar tus recursos con verificaciones de estado. Route 53 se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones que realiza un usuario, un rol o un servicio de AWS en Route 53.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso privilegiado a AWS
Cómo configurar AWS CloudTrail y Route 53
- Accede a la consola de AWS.
- Busca Cloudtrail.
- Si aún no tienes un registro, haz clic en Crear registro.
- Proporciona un Nombre del registro de auditoría .
- Selecciona Crear un bucket de S3 nuevo (también puedes usar un bucket de S3 existente).
- Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
- Deja los demás parámetros de configuración con su valor predeterminado y haz clic en Siguiente.
- Selecciona Event type y asegúrate de que esté seleccionada la opción Management events (estos son los eventos que incluirán llamadas a la API de Route 53).
- Haz clic en Siguiente.
- Revisa la configuración en Revisar y crear.
- Haz clic en Crear ruta.
- En la consola de AWS, busca S3.
- Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs .
- Haz clic en Copiar URI de S3 y guárdala.
Configura el usuario de IAM de AWS
- En la consola de AWS, busca IAM.
- Haz clic en Usuarios.
- Haz clic en Agregar usuarios.
- Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
- Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
- Haz clic en Next: Permissions.
- Selecciona Adjuntar las políticas existentes de forma directa.
- Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
- Haz clic en Siguiente: Etiquetas.
- Opcional: Agrega las etiquetas que sean necesarias.
- Haz clic en Siguiente: Revisar.
- Revisa la configuración y haz clic en Crear usuario.
- Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds desde Configuración del SIEM > Feeds
Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.
Para configurar un solo feed, sigue estos pasos:
- Ve a SIEM Settings > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AWS Route 53).
- Selecciona Amazon S3 como el Tipo de fuente.
- Selecciona AWS Route 53 como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket.
s3:/BUCKET_NAME- Reemplaza
BUCKET_NAMEpor el nombre real de tu bucket de S3.
- Reemplaza
- El URI es un: Selecciona Directorio que incluye subdirectorios.
- Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.
Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/- Reemplaza
your-log-bucket-namepor el nombre real de tu bucket de S3.
- Reemplaza
- El URI es un: Selecciona Directorio que incluye subdirectorios.
- Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
ID de clave de acceso: Es la clave de acceso del usuario con permisos para leer desde el bucket de S3.
Clave de acceso secreta: Es la clave secreta del usuario con permisos para leer desde el bucket de S3.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del recurso: Espacio de nombres asociado al feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | Es el ID de la cuenta de AWS asociada a la búsqueda. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | Es el ID de la lista de dominios de la que forma parte el dominio que se consulta. |
| firewall_rule_action | read_only_udm.security_result.action | Es la acción que realizó la regla de firewall que coincidió con la búsqueda. Los valores posibles son "ALLOW", "BLOCK" o "UNKNOWN_ACTION" si no se reconoce la acción. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | Es el ID del grupo de reglas de firewall que coincidió con la búsqueda. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | Es el ID único del evento de registro. Se usa como resguardo si no está presente "account_id". |
| logEvents{}.message | Este campo se analiza en otros campos del UDM según su formato. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Es la fecha y hora en que se registró la consulta de DNS. |
| messageType | Este campo se usa para determinar la estructura del mensaje de registro. | |
| propietario | read_only_udm.principal.user.userid | ID de la cuenta de AWS del propietario del registro. |
| query_class | read_only_udm.network.dns.questions.class | Es la clase de la consulta de DNS. |
| query_name | read_only_udm.network.dns.questions.name | Es el nombre de dominio que se consultó. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Es la fecha y hora en que se realizó la consulta de DNS. |
| query_type | read_only_udm.metadata.product_event_type | Es el tipo de consulta de DNS. |
| rcode | read_only_udm.metadata.description | Es el código de respuesta de la consulta de DNS. |
| región | read_only_udm.principal.location.name | Región de AWS en la que se originó la consulta. |
| srcaddr | read_only_udm.principal.ip | Es la dirección IP del cliente que realizó la consulta de DNS. |
| srcids.instance | read_only_udm.principal.hostname | Es el ID de instancia del cliente que realizó la consulta de DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | Es el ID del extremo del solucionador que controló la consulta. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | Es el ID de la interfaz de red del solucionador que controló la consulta. |
| srcport | read_only_udm.principal.port | Es el número de puerto del cliente que realizó la consulta de DNS. |
| transporte | read_only_udm.network.ip_protocol | Es el protocolo de transporte que se usa para la consulta de DNS. |
| versión | read_only_udm.metadata.product_version | Es la versión del formato de los registros de consultas del solucionador de Route 53. |
| N/A | read_only_udm.metadata.event_type | Se codifica como "NETWORK_DNS". |
| N/A | read_only_udm.metadata.product_name | Está codificado como "AWS Route 53". |
| N/A | read_only_udm.metadata.vendor_name | Se codifica de forma rígida como "AMAZON". |
| N/A | read_only_udm.principal.cloud.environment | Está codificado como "AMAZON_WEB_SERVICES". |
| N/A | read_only_udm.network.application_protocol | Se codifica como "DNS". |
| N/A | read_only_udm.network.dns.response_code | Se asigna desde el campo "rcode" con una tabla de búsqueda. |
| N/A | read_only_udm.network.dns.questions.type | Se asigna desde el campo "query_type" con una tabla de búsqueda. |
| N/A | read_only_udm.metadata.product_deployment_id | Se extrae del campo "logevent.message_data" con el patrón de Grok. |
| N/A | read_only_udm.network.dns.authority.name | Se extrae del campo "logevent.message_data" con el patrón de Grok. |
| N/A | read_only_udm.security_result.rule_labels.key | Se establece en "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface", según los campos disponibles. |
| N/A | read_only_udm.security_result.action_details | Se establece en el valor de "firewall_rule_action" si no es "ALLOW" o "BLOCK". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.