Recopila registros de flujo de la puerta de enlace de tránsito de la VPC de AWS

Compatible con:

En este documento, se explica cómo transferir registros de flujo de la puerta de enlace de tránsito de la VPC de AWS a Google Security Operations con CloudWatch Logs y Kinesis Data Firehose. Los registros de flujo de la puerta de enlace de tránsito capturan metadatos detallados del tráfico de red en todos los adjuntos de la puerta de enlace de tránsito. Esta integración transmite estos registros a Google SecOps para la supervisión y el análisis de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS

Habilita los registros de flujo de Transit Gateway (en los registros de CloudWatch)

  1. Accede a la consola de AWS.
  2. Ve a VPC > Puertas de enlace de tránsito (o Adjuntos de puerta de enlace de tránsito).
  3. Selecciona los recursos de destino.
  4. Haz clic en Acciones > Crear registro de flujo.
  5. Proporciona los siguientes detalles de configuración:
    • Destino: Selecciona Enviar a CloudWatch Logs.
    • Grupo de registros: Elige o crea un grupo de registros (por ejemplo, /aws/tgw/flowlogs).
    • Rol de IAM: Selecciona un rol que pueda escribir en CloudWatch Logs.
    • Intervalo de agregación máximo: Elige 1 minuto (recomendado) o 10 minutos.
    • Formato de registro: Selecciona Predeterminado (o Personalizado si necesitas campos adicionales).
  6. Haz clic en Crear registro de flujo.

Configura un feed en Google SecOps para transferir registros de flujo de la puerta de enlace de tránsito

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Agregar feed nuevo.
  3. En el campo Nombre del feed, ingresa AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Selecciona Amazon Data Firehose como el Tipo de fuente.
  5. Selecciona Registros de flujo de la puerta de enlace de tránsito de Amazon VPC como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: n opcional.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente > Enviar.
  9. En los Detalles del feed, haz clic en Generar clave secreta y copia la Clave secreta.
  10. Copia la URL del extremo HTTPS del feed de Endpoint Information.
  11. En Google Cloud consola > APIs y servicios > Credenciales > Crear credenciales > Clave de API, crea una clave de API y restrínsela a la API de Chronicle. Copia la clave de API.

Configura Amazon Kinesis Data Firehose (directamente en Google SecOps)

  1. En la consola de AWS, ve a Kinesis > Data Firehose > Create delivery stream.
  2. Proporciona los siguientes detalles de configuración:
    • Fuente: Selecciona Carga directa o fuentes externas.
    • Destino: Elige Extremo HTTP.
    • URL del extremo HTTP: Ingresa ENDPOINT_URL?key=API_KEY (usa la URL del extremo HTTPS del feed y la clave de API del paso anterior).
    • Método HTTP: Selecciona POST.
    • Clave de acceso: Pega la clave secreta generada en el feed.
    • Sugerencias de almacenamiento en búfer: Establece Tamaño del búfer = 1 MiB y Intervalo del búfer = 60 segundos.
    • Compresión: Selecciona Inhabilitada.
    • Copia de seguridad de S3: Selecciona Inhabilitada.
    • Deja la configuración de reintentos y registros con sus valores predeterminados.
  3. Haz clic en Crear flujo de entrega. (Nombre de ejemplo: cwlogs-to-secops)

Configura los permisos de IAM y suscríbete al grupo de registros

  1. En la consola de AWS, ve a IAM > Políticas > Crear política > pestaña JSON.

  2. Ingresa la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Reemplaza <region> y <account-id> por tu región de AWS y tu ID de cuenta.

  3. Asigna el nombre CWLtoFirehoseWrite a la política y haz clic en Crear política.

  4. Ve a IAM > Roles.

  5. Haz clic en Crear rol.

  6. Selecciona Política de confianza personalizada y, luego, ingresa lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Adjunta la política CWLtoFirehoseWrite al rol.

  8. Asigna el nombre CWLtoFirehoseRole al rol y haz clic en Crear rol.

  9. Ve a CloudWatch > Registros > Grupos de registros.

  10. Selecciona el grupo de registros de Transit Gateway que habilitaste antes.

  11. Abre la pestaña Filtros de suscripción y haz clic en Crear.

  12. Elige Create Amazon Kinesis Data Firehose subscription filter.

  13. Configura lo siguiente:

    • Destino: Flujo de entrega cwlogs-to-secops.
    • Otorga permiso: Rol CWLtoFirehoseRole.
    • Nombre del filtro: Ingresa all-events.
    • Patrón de filtro: Déjalo vacío para enviar todos los eventos.

  14. Haz clic en Iniciar transmisión.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.