Raccogliere i log di AWS Route 53
Supportato in:
Google secops
SIEM
Questo documento spiega come configurare AWS CloudTrail per archiviare i log DNS di AWS Route 53 in un bucket S3 e importare i log da S3 a Google Security Operations. Amazon Route 53 fornisce il logging delle query DNS e la possibilità di monitorare le risorse utilizzando i controlli di integrità. Route 53 è integrato con AWS CloudTrail, un servizio che fornisce un record delle azioni intraprese da un utente, un ruolo o un servizio AWS in Route 53.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad AWS
Come configurare AWS CloudTrail e Route 53
- Accedi alla console AWS.
- Cerca Cloudtrail.
- Se non hai ancora un percorso, fai clic su Crea percorso.
- Fornisci un nome della traccia .
- Seleziona Crea nuovo bucket S3 (puoi anche scegliere di utilizzare un bucket S3 esistente).
- Fornisci un nome per l'alias AWS KMS o scegli una chiave AWS KMS esistente.
- Lascia invariate le altre impostazioni predefinite e fai clic su Avanti.
- Seleziona Tipo di evento, assicurati che sia selezionato Eventi di gestione (si tratta degli eventi che includeranno le chiamate API Route 53).
- Fai clic su Avanti.
- Rivedi le impostazioni in Rivedi e crea.
- Fai clic su Crea percorso.
- Nella console AWS, cerca S3.
- Fai clic sul bucket di log appena creato e seleziona la cartella AWSLogs .
- Fai clic su Copia URI S3 e salvalo.
Configura l'utente AWS IAM
- Nella console AWS, cerca IAM.
- Fai clic su Utenti.
- Fai clic su Aggiungi utenti.
- Fornisci un nome per l'utente (ad esempio chronicle-feed-user).
- Seleziona Chiave di accesso - Accesso programmatico come tipo di credenziali AWS.
- Fai clic su Avanti: autorizzazioni.
- Seleziona Collega direttamente i criteri esistenti.
- Seleziona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
- Fai clic su Avanti: tag.
- (Facoltativo) Aggiungi eventuali tag, se necessario.
- Fai clic su Successivo: esamina.
- Rivedi la configurazione e fai clic su Crea utente.
- Copia l'ID chiave di accesso e la chiave di accesso segreta dell'utente creato.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configurare i feed da Impostazioni SIEM > Feed
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Log di AWS Route 53).
- Seleziona Amazon S3 come Tipo di origine.
- Seleziona AWS Route 53 come tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket.
s3:/BUCKET_NAME- Sostituisci
BUCKET_NAMEcon il nome effettivo del tuo bucket S3.
- Sostituisci
- URI è un: seleziona Directory che include sottodirectory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket.
s3://your-log-bucket-name/- Sostituisci
your-log-bucket-namecon il nome effettivo del tuo bucket S3.
- Sostituisci
- URI è un: seleziona Directory che include sottodirectory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | L'ID account AWS associato alla query. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | L'ID dell'elenco di domini di cui fa parte il dominio sottoposto a query. |
| firewall_rule_action | read_only_udm.security_result.action | L'azione eseguita dalla regola firewall che corrisponde alla query. I valori possibili sono "ALLOW", "BLOCK" o "UNKNOWN_ACTION" se l'azione non viene riconosciuta. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | L'ID del gruppo di regole firewall che corrisponde alla query. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | L'ID univoco dell'evento di log. Utilizzato come fallback se "account_id" non è presente. |
| logEvents{}.message | Questo campo viene analizzato in altri campi UDM in base al suo formato. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | L'ora in cui è stata registrata la query DNS. |
| messageType | Questo campo viene utilizzato per determinare la struttura del messaggio di log. | |
| proprietario | read_only_udm.principal.user.userid | L'ID account AWS del proprietario del log. |
| query_class | read_only_udm.network.dns.questions.class | La classe della query DNS. |
| query_name | read_only_udm.network.dns.questions.name | Il nome di dominio su cui è stata eseguita la query. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | L'ora in cui è stata eseguita la query DNS. |
| query_type | read_only_udm.metadata.product_event_type | Il tipo di query DNS. |
| rcode | read_only_udm.metadata.description | Il codice di risposta della query DNS. |
| regione | read_only_udm.principal.location.name | La regione AWS da cui ha avuto origine la query. |
| srcaddr | read_only_udm.principal.ip | L'indirizzo IP del client che ha eseguito la query DNS. |
| srcids.instance | read_only_udm.principal.hostname | L'ID istanza del client che ha eseguito la query DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | L'ID endpoint del resolver che ha gestito la query. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | L'ID dell'interfaccia di rete del resolver che ha gestito la query. |
| srcport | read_only_udm.principal.port | Il numero di porta del client che ha eseguito la query DNS. |
| trasporto | read_only_udm.network.ip_protocol | Il protocollo di trasporto utilizzato per la query DNS. |
| versione | read_only_udm.metadata.product_version | La versione del formato dei log delle query del resolver Route 53. |
| N/D | read_only_udm.metadata.event_type | Codificato in modo permanente su "NETWORK_DNS". |
| N/D | read_only_udm.metadata.product_name | Codificato in modo permanente su "AWS Route 53". |
| N/D | read_only_udm.metadata.vendor_name | Codificato in modo permanente su "AMAZON". |
| N/D | read_only_udm.principal.cloud.environment | Codificato in modo permanente su "AMAZON_WEB_SERVICES". |
| N/D | read_only_udm.network.application_protocol | Codificato in modo permanente su "DNS". |
| N/D | read_only_udm.network.dns.response_code | Mappato dal campo "rcode" utilizzando una tabella di ricerca. |
| N/D | read_only_udm.network.dns.questions.type | Mappato dal campo "query_type" utilizzando una tabella di ricerca. |
| N/D | read_only_udm.metadata.product_deployment_id | Estratto dal campo "logevent.message_data" utilizzando il pattern grok. |
| N/D | read_only_udm.network.dns.authority.name | Estratto dal campo "logevent.message_data" utilizzando il pattern grok. |
| N/D | read_only_udm.security_result.rule_labels.key | Imposta "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface" a seconda dei campi disponibili. |
| N/D | read_only_udm.security_result.action_details | Impostato sul valore di "firewall_rule_action" se non è "ALLOW" o "BLOCK". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.