Mengumpulkan log AWS Route 53
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengonfigurasi AWS CloudTrail untuk menyimpan log DNS AWS Route 53 di bucket S3 dan menyerap log dari S3 ke Google Security Operations. Amazon Route 53 menyediakan logging kueri DNS dan kemampuan untuk memantau resource Anda menggunakan health check. Route 53 terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang dilakukan oleh pengguna, peran, atau layanan AWS di Route 53.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
Cara mengonfigurasi AWS CloudTrail dan Route 53
- Login ke Konsol AWS.
- Telusuri Cloudtrail.
- Jika Anda belum memiliki jejak, klik Buat jejak.
- Berikan Nama jejak audit .
- Pilih Create new S3 bucket (Anda juga dapat memilih untuk menggunakan bucket S3 yang ada).
- Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
- Biarkan setelan lainnya sebagai default, lalu klik Berikutnya.
- Pilih Jenis peristiwa, pastikan Peristiwa pengelolaan dipilih (ini adalah peristiwa yang akan menyertakan panggilan API Route 53).
- Klik Berikutnya.
- Tinjau setelan di Tinjau dan buat.
- Klik Buat jalur.
- Di konsol AWS, cari S3.
- Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs .
- Klik Copy S3 URI dan simpan.
Mengonfigurasi Pengguna IAM AWS
- Di konsol AWS, telusuri IAM.
- Klik Pengguna.
- Klik Tambahkan Pengguna.
- Berikan nama untuk pengguna (misalnya, chronicle-feed-user).
- Pilih Kunci akses - Akses terprogram sebagai jenis kredensial AWS.
- Klik Berikutnya: Izin.
- Pilih Lampirkan kebijakan yang ada secara langsung.
- Pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess.
- Klik Berikutnya: Tanda.
- Opsional: tambahkan tag jika diperlukan.
- Klik Berikutnya: Tinjau.
- Tinjau konfigurasi, lalu klik Buat pengguna.
- Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed DNS AWS Route 53
- Klik paket Amazon Cloud Platform.
- Cari jenis log AWS Route 53 DNS.
- Opsional: Jika Anda menggunakan Ingestion API untuk penyerapan log langsung, tentukan AWS Route 53 sebagai jenis log.
Tentukan nilai di kolom berikut.
- Jenis Sumber: Amazon SQS V2
- Nama Antrean: Nama antrean SQS yang akan dibaca
- URI S3: URI bucket.
s3://your-log-bucket-name/- Ganti
your-log-bucket-namedengan nama sebenarnya bucket S3 Anda.
- Ganti
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.
Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | ID akun AWS yang terkait dengan kueri. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | ID daftar domain yang menjadi bagian dari domain yang dikueri. |
| firewall_rule_action | read_only_udm.security_result.action | Tindakan yang dilakukan oleh aturan firewall yang cocok dengan kueri. Nilai yang mungkin adalah "ALLOW", "BLOCK", atau "UNKNOWN_ACTION" jika tindakan tidak dikenali. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | ID grup aturan firewall yang cocok dengan kueri. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | ID unik peristiwa log. Digunakan sebagai penggantian jika 'account_id' tidak ada. |
| logEvents{}.message | Kolom ini diuraikan ke kolom UDM lainnya berdasarkan formatnya. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dicatat ke dalam log. |
| messageType | Kolom ini digunakan untuk menentukan struktur pesan log. | |
| owner | read_only_udm.principal.user.userid | ID akun AWS pemilik log. |
| query_class | read_only_udm.network.dns.questions.class | Kelas kueri DNS. |
| query_name | read_only_udm.network.dns.questions.name | Nama domain yang dikueri. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Waktu saat kueri DNS dibuat. |
| query_type | read_only_udm.metadata.product_event_type | Jenis kueri DNS. |
| rcode | read_only_udm.metadata.description | Kode respons kueri DNS. |
| region | read_only_udm.principal.location.name | Region AWS tempat kueri berasal. |
| srcaddr | read_only_udm.principal.ip | Alamat IP klien yang membuat kueri DNS. |
| srcids.instance | read_only_udm.principal.hostname | ID instance klien yang membuat kueri DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | ID endpoint resolver yang menangani kueri. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | ID antarmuka jaringan resolver yang menangani kueri. |
| srcport | read_only_udm.principal.port | Nomor port klien yang membuat kueri DNS. |
| {i>transport<i} | read_only_udm.network.ip_protocol | Protokol transport yang digunakan untuk kueri DNS. |
| versi | read_only_udm.metadata.product_version | Versi format Log Kueri Route 53 Resolver. |
| T/A | read_only_udm.metadata.event_type | Dikodekan secara permanen ke "NETWORK_DNS". |
| T/A | read_only_udm.metadata.product_name | Dikodekan secara permanen ke "AWS Route 53". |
| T/A | read_only_udm.metadata.vendor_name | Dikodekan secara permanen ke "AMAZON". |
| T/A | read_only_udm.principal.cloud.environment | Dikodekan secara permanen ke "AMAZON_WEB_SERVICES". |
| T/A | read_only_udm.network.application_protocol | Dikodekan secara permanen ke "DNS". |
| T/A | read_only_udm.network.dns.response_code | Dipetakan dari kolom "rcode" menggunakan tabel lookup. |
| T/A | read_only_udm.network.dns.questions.type | Dipetakan dari kolom "query_type" menggunakan tabel lookup. |
| T/A | read_only_udm.metadata.product_deployment_id | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.network.dns.authority.name | Diekstrak dari kolom 'logevent.message_data' menggunakan pola grok. |
| T/A | read_only_udm.security_result.rule_labels.key | Tetapkan ke "firewall_domain_list_id", "resolver_endpoint", atau "resolver_network_interface" bergantung pada kolom yang tersedia. |
| T/A | read_only_udm.security_result.action_details | Disetel ke nilai "firewall_rule_action" jika bukan "ALLOW" atau "BLOCK". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.