Coletar registros do AWS Route 53
Compatível com:
Google SecOps
SIEM
Este documento explica como configurar o AWS CloudTrail para armazenar registros de DNS do AWS Route 53 em um bucket do S3 e ingerir os registros do S3 no Google Security Operations. O Amazon Route 53 oferece registro em log de consultas DNS e a capacidade de monitorar seus recursos usando verificações de integridade. O Route 53 é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, uma função ou um serviço da AWS no Route 53.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado à AWS
Como configurar o AWS CloudTrail e o Route 53
- Faça login no console da AWS.
- Pesquise Cloudtrail.
- Se você ainda não tiver um rastreamento, clique em Criar rastreamento.
- Forneça um Nome da trilha .
- Selecione Criar bucket do S3 (também é possível usar um bucket do S3 atual).
- Forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.
- Deixe as outras configurações como padrão e clique em Próxima.
- Selecione Tipo de evento e verifique se Eventos de gerenciamento está selecionado. Esses são os eventos que incluem chamadas de API do Route 53.
- Clique em Próxima.
- Revise as configurações em Revisar e criar.
- Clique em Criar rastreamento.
- No console da AWS, pesquise S3.
- Clique no bucket de registros recém-criado e selecione a pasta AWSLogs .
- Clique em Copiar URI do S3 e salve.
Configurar o usuário do IAM da AWS
- No console da AWS, pesquise IAM.
- Clique em Usuários.
- Clique em Adicionar usuários.
- Forneça um nome para o usuário (por exemplo, chronicle-feed-user).
- Selecione Chave de acesso - Acesso programático como o tipo de credencial da AWS.
- Clique em Next: Permissions.
- Selecione Anexar políticas atuais diretamente.
- Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
- Clique em Avançar: tags.
- Opcional: adicione tags, se necessário.
- Clique em PRÓXIMO: REVISAR.
- Revise a configuração e clique em Criar usuário.
- Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em Configurações do SIEM > Feeds
Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Para configurar um único feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do AWS Route 53).
- Selecione Amazon S3 como o Tipo de origem.
- Selecione AWS Route 53 como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3:/BUCKET_NAME- Substitua
BUCKET_NAMEpelo nome real do seu bucket do S3.
- Substitua
- O URI é um: selecione Diretório que inclui subdiretórios.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
s3://your-log-bucket-name/- Substitua
your-log-bucket-namepelo nome real do seu bucket do S3.
- Substitua
- O URI é um: selecione Diretório que inclui subdiretórios.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento da UDM | Lógica |
|---|---|---|
| account_id | read_only_udm.principal.resource.product_object_id | O ID da conta da AWS associado à consulta. |
| firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | O ID da lista de domínios a que o domínio consultado pertence. |
| firewall_rule_action | read_only_udm.security_result.action | A ação realizada pela regra de firewall que correspondeu à consulta. Os valores possíveis são "ALLOW", "BLOCK" ou "UNKNOWN_ACTION" se a ação não for reconhecida. |
| firewall_rule_group_id | read_only_udm.security_result.rule_id | O ID do grupo de regras de firewall que correspondeu à consulta. |
| logEvents{}.id | read_only_udm.principal.resource.product_object_id | O ID exclusivo do evento de registro. Usado como substituto se "account_id" não estiver presente. |
| logEvents{}.message | Esse campo é analisado em outros campos do UDM com base no formato dele. | |
| logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | O horário em que a consulta DNS foi registrada. |
| messageType | Esse campo é usado para determinar a estrutura da mensagem de registro. | |
| proprietário | read_only_udm.principal.user.userid | O ID da conta da AWS do proprietário do registro. |
| query_class | read_only_udm.network.dns.questions.class | A classe da consulta DNS. |
| query_name | read_only_udm.network.dns.questions.name | O nome de domínio consultado. |
| query_timestamp | read_only_udm.metadata.event_timestamp.seconds | A hora em que a consulta DNS foi feita. |
| query_type | read_only_udm.metadata.product_event_type | O tipo de consulta DNS. |
| rcode | read_only_udm.metadata.description | O código de resposta da consulta DNS. |
| região | read_only_udm.principal.location.name | A região da AWS em que a consulta foi originada. |
| srcaddr | read_only_udm.principal.ip | O endereço IP do cliente que fez a consulta de DNS. |
| srcids.instance | read_only_udm.principal.hostname | O ID da instância do cliente que fez a consulta de DNS. |
| srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | O ID do endpoint do resolvedor que processou a consulta. |
| srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | O ID da interface de rede do resolvedor que processou a consulta. |
| srcport | read_only_udm.principal.port | O número da porta do cliente que fez a consulta DNS. |
| transport | read_only_udm.network.ip_protocol | O protocolo de transporte usado para a consulta DNS. |
| version | read_only_udm.metadata.product_version | A versão do formato dos registros de consultas do resolvedor do Route 53. |
| N/A | read_only_udm.metadata.event_type | Codificado como "NETWORK_DNS". |
| N/A | read_only_udm.metadata.product_name | Codificado como "AWS Route 53". |
| N/A | read_only_udm.metadata.vendor_name | Codificado como "AMAZON". |
| N/A | read_only_udm.principal.cloud.environment | Codificado como "AMAZON_WEB_SERVICES". |
| N/A | read_only_udm.network.application_protocol | Codificado como "DNS". |
| N/A | read_only_udm.network.dns.response_code | Mapeado do campo "rcode" usando uma tabela de pesquisa. |
| N/A | read_only_udm.network.dns.questions.type | Mapeado do campo "query_type" usando uma tabela de pesquisa. |
| N/A | read_only_udm.metadata.product_deployment_id | Extraído do campo "logevent.message_data" usando o padrão grok. |
| N/A | read_only_udm.network.dns.authority.name | Extraído do campo "logevent.message_data" usando o padrão grok. |
| N/A | read_only_udm.security_result.rule_labels.key | Defina como "firewall_domain_list_id", "resolver_endpoint" ou "resolver_network_interface", dependendo dos campos disponíveis. |
| N/A | read_only_udm.security_result.action_details | Definido como o valor de "firewall_rule_action" se não for "ALLOW" ou "BLOCK". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.