收集 AWS Route 53 記錄

支援的國家/地區:

本文說明如何設定 AWS CloudTrail,將 AWS Route 53 DNS 記錄檔儲存在 S3 儲存空間,並將記錄檔從 S3 擷取至 Google Security Operations。Amazon Route 53 提供 DNS 查詢記錄,並可透過健康狀態檢查監控資源。Route 53 與 AWS CloudTrail 整合,這項服務會記錄使用者、角色或 AWS 服務在 Route 53 中執行的動作。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

如何設定 AWS Cloudtrail 和 Route 53

  1. 登入 AWS 控制台。
  2. 搜尋 Cloudtrail
  3. 如果沒有追蹤記錄,請按一下「建立追蹤記錄」
  1. 提供「Trail name」
  2. 選取「Create new S3 bucket」(建立新的 S3 bucket) (您也可以選擇使用現有的 S3 bucket)。
  3. 提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰
  4. 其他設定保留預設值,然後點選「下一步」
  5. 選取「事件類型」,並確認已選取「管理事件」 (這些事件會包含 Route 53 API 呼叫)。
  6. 點選「下一步」
  7. 在「檢閱並建立」中檢查設定。
  8. 按一下「建立路徑」
  9. 在 AWS 控制台中,搜尋 S3
  10. 按一下新建立的記錄檔值區,然後選取「AWSLogs」AWSLogs資料夾。
  11. 按一下「複製 S3 URI」並儲存。

設定 AWS IAM 使用者

  1. 在 AWS 控制台中,搜尋「IAM」IAM
  2. 按一下「Users」(使用者)
  3. 按一下「新增使用者」
  4. 為使用者命名 (例如 chronicle-feed-user)。
  5. 選取「Access key - Programmatic access」(存取金鑰 - 程式輔助存取) 做為 AWS 憑證類型。
  6. 點選 [Next: Permissions] (下一步:權限)。
  7. 選取「直接附加現有政策」
  8. 選取「AmazonS3ReadOnlyAccess」或「AmazonS3FullAccess」
  1. 按一下「下一步:代碼」
  2. 選用:視需要新增任何標記。
  3. 按一下 [下一步:檢閱]
  4. 檢查設定,然後按一下「建立使用者」
  5. 複製所建立使用者的存取金鑰 ID 和存取密鑰。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「Feed name」(動態饋給名稱) 欄位中,輸入動態饋給的名稱 (例如「AWS Route 53 Logs」)。
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取「AWS Route 53」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:bucket URI。
      • s3:/BUCKET_NAME
        • 請將 BUCKET_NAME 替換為 S3 值區的實際名稱。
    • URI 是:選取「包含子目錄的目錄」
    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

    • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 值區所在的區域。
  • S3 URI:bucket URI。
    • s3://your-log-bucket-name/
      • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
  • URI 是:選取「包含子目錄的目錄」
  • 來源刪除選項:根據擷取偏好設定選取刪除選項。

  • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

  • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
account_id read_only_udm.principal.resource.product_object_id 與查詢相關聯的 AWS 帳戶 ID。
firewall_domain_list_id read_only_udm.security_result.rule_labels.value 網域所屬網域清單的 ID。
firewall_rule_action read_only_udm.security_result.action 與查詢相符的防火牆規則所採取的動作。可能的值為「ALLOW」、「BLOCK」或「UNKNOWN_ACTION」(如果系統無法辨識動作)。
firewall_rule_group_id read_only_udm.security_result.rule_id 符合查詢的防火牆規則群組 ID。
logEvents{}.id read_only_udm.principal.resource.product_object_id 記錄事件的專屬 ID。如果沒有「account_id」,系統會改用這個 ID。
logEvents{}.message 系統會根據這個欄位的格式,將其剖析為其他 UDM 欄位。
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds 記錄 DNS 查詢的時間。
messageType 這個欄位用於決定記錄訊息的結構。
擁有者 read_only_udm.principal.user.userid 記錄擁有者的 AWS 帳戶 ID。
query_class read_only_udm.network.dns.questions.class DNS 查詢的類別。
query_name read_only_udm.network.dns.questions.name 查詢的網域名稱。
query_timestamp read_only_udm.metadata.event_timestamp.seconds 發出 DNS 查詢的時間。
query_type read_only_udm.metadata.product_event_type DNS 查詢類型。
rcode read_only_udm.metadata.description DNS 查詢的回應代碼。
區域 read_only_udm.principal.location.name 查詢的來源 AWS 區域。
srcaddr read_only_udm.principal.ip 發出 DNS 查詢的用戶端 IP 位址。
srcids.instance read_only_udm.principal.hostname 發出 DNS 查詢的用戶端執行個體 ID。
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value 處理查詢的解析器端點 ID。
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value 處理查詢的解析器網路介面 ID。
srcport read_only_udm.principal.port 發出 DNS 查詢的用戶端通訊埠編號。
transport read_only_udm.network.ip_protocol 用於 DNS 查詢的傳輸通訊協定。
version read_only_udm.metadata.product_version Route 53 Resolver 查詢記錄格式的版本。
不適用 read_only_udm.metadata.event_type 硬式編碼為「NETWORK_DNS」。
不適用 read_only_udm.metadata.product_name 硬式編碼為「AWS Route 53」。
不適用 read_only_udm.metadata.vendor_name 硬式編碼為「AMAZON」。
不適用 read_only_udm.principal.cloud.environment 硬式編碼為「AMAZON_WEB_SERVICES」。
不適用 read_only_udm.network.application_protocol 硬式編碼為「DNS」。
不適用 read_only_udm.network.dns.response_code 使用查閱表從「rcode」欄位對應。
不適用 read_only_udm.network.dns.questions.type 使用對照表從「query_type」欄位對應。
不適用 read_only_udm.metadata.product_deployment_id 使用 grok 模式從「logevent.message_data」欄位擷取。
不適用 read_only_udm.network.dns.authority.name 使用 grok 模式從「logevent.message_data」欄位擷取。
不適用 read_only_udm.security_result.rule_labels.key 視可用欄位而定,設定為「firewall_domain_list_id」、「resolver_endpoint」或「resolver_network_interface」。
不適用 read_only_udm.security_result.action_details 如果不是「ALLOW」或「BLOCK」,請設為「firewall_rule_action」的值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。