Mengumpulkan log AWS Route 53
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengonfigurasi AWS CloudTrail untuk menyimpan log DNS AWS Route 53 di bucket S3 dan menyerap log dari S3 ke Google Security Operations. Amazon Route 53 menyediakan logging kueri DNS dan kemampuan untuk memantau resource Anda menggunakan health check. Route 53 terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang dilakukan oleh pengguna, peran, atau layanan AWS di Route 53.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
Cara mengonfigurasi AWS CloudTrail dan Route 53
- Login ke Konsol AWS.
- Telusuri Cloudtrail.
- Jika Anda belum memiliki jejak, klik Buat jejak.
- Berikan Nama jejak audit .
- Pilih Buat bucket S3 baru (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).
- Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
- Biarkan setelan lainnya sebagai default, lalu klik Berikutnya.
- Pilih Jenis peristiwa, pastikan Peristiwa pengelolaan dipilih (ini adalah peristiwa yang akan menyertakan panggilan API Route 53).
- Klik Berikutnya.
- Tinjau setelan di Tinjau dan buat.
- Klik Buat jalur.
- Di konsol AWS, cari S3.
- Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs .
- Klik Copy S3 URI dan simpan.
Mengonfigurasi Pengguna IAM AWS
- Di konsol AWS, telusuri IAM.
- Klik Pengguna.
- Klik Tambahkan Pengguna.
- Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
- Pilih Kunci akses - Akses terprogram sebagai jenis kredensial AWS.
- Klik Berikutnya: Izin.
- Pilih Lampirkan kebijakan yang ada secara langsung.
- Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
- Klik Berikutnya: Tanda.
- Opsional: tambahkan tag jika diperlukan.
- Klik Berikutnya: Tinjau.
- Tinjau konfigurasi, lalu klik Buat pengguna.
- Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, AWS Route 53 Logs).
- Pilih Amazon S3 sebagai Jenis sumber.
- Pilih AWS Route 53 sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
s3:/BUCKET_NAME- Ganti
BUCKET_NAMEdengan nama sebenarnya bucket S3 Anda.
- Ganti
- URI adalah: Pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Menyiapkan feed dari Hub Konten
Tentukan nilai untuk kolom berikut:
- Region: Region tempat bucket Amazon S3 berada.
- URI S3: URI bucket.
s3://your-log-bucket-name/- Ganti
your-log-bucket-namedengan nama sebenarnya bucket S3 Anda.
- Ganti
- URI adalah: Pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | ID akun AWS yang terkait dengan kueri. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | ID daftar domain yang menjadi bagian dari domain yang dikueri. |
| firewall_rule_action | read_only_udm.security_result.action | Tindakan yang dilakukan oleh aturan firewall yang cocok dengan kueri. Nilai yang mungkin adalah "ALLOW", "BLOCK", atau "UNKNOWN_ACTION" jika tindakan tidak dikenali. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | ID grup aturan firewall yang cocok dengan kueri. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | ID unik peristiwa log. Digunakan sebagai pengganti jika 'account_id' tidak ada. |
| logEvents{}.message | Kolom ini diuraikan ke dalam kolom UDM lainnya berdasarkan formatnya. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dicatat ke dalam log. |
| messageType | Kolom ini digunakan untuk menentukan struktur pesan log. | |
| owner | read_only_udm.principal.user.userid | ID akun AWS pemilik log. |
| query_class | read_only_udm.network.dns.questions.class | Kelas kueri DNS. |
| query_name | read_only_udm.network.dns.questions.name | Nama domain yang dikueri. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dibuat. |
| query_type | read_only_udm.metadata.product_event_type | Jenis kueri DNS. |
| rcode | read_only_udm.metadata.description | Kode respons kueri DNS. |
| region | read_only_udm.principal.location.name | Region AWS tempat kueri berasal. |
| srcaddr | read_only_udm.principal.ip | Alamat IP klien yang membuat kueri DNS. |
| srcids.instance | read_only_udm.principal.hostname | ID instance klien yang membuat kueri DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | ID endpoint resolver yang menangani kueri. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | ID antarmuka jaringan resolver yang menangani kueri. |
| srcport | read_only_udm.principal.port | Nomor port klien yang membuat kueri DNS. |
| {i>transport<i} | read_only_udm.network.ip_protocol | Protokol transport yang digunakan untuk kueri DNS. |
| versi | read_only_udm.metadata.product_version | Versi format Log Kueri Route 53 Resolver. |
| T/A | read_only_udm.metadata.event_type | Dikodekan secara permanen ke "NETWORK_DNS". |
| T/A | read_only_udm.metadata.product_name | Dikodekan secara permanen ke "AWS Route 53". |
| T/A | read_only_udm.metadata.vendor_name | Dikodekan secara permanen ke "AMAZON". |
| T/A | read_only_udm.principal.cloud.environment | Dikodekan secara permanen ke "AMAZON_WEB_SERVICES". |
| T/A | read_only_udm.network.application_protocol | Dikodekan secara permanen ke "DNS". |
| T/A | read_only_udm.network.dns.response_code | Dipetakan dari kolom "rcode" menggunakan tabel lookup. |
| T/A | read_only_udm.network.dns.questions.type | Dipetakan dari kolom "query_type" menggunakan tabel lookup. |
| T/A | read_only_udm.metadata.product_deployment_id | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.network.dns.authority.name | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.security_result.rule_labels.key | Tetapkan ke "firewall_domain_list_id", "resolver_endpoint", atau "resolver_network_interface" bergantung pada kolom yang tersedia. |
| T/A | read_only_udm.security_result.action_details | Disetel ke nilai "firewall_rule_action" jika bukan "ALLOW" atau "BLOCK". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.