Coletar registros da AWS VPN

Compatível com:

Este documento explica como transferir os registros de VPN da AWS para o Google Security Operations. A AWS VPN fornece uma conexão segura entre sua rede local e a Amazon Virtual Private Cloud (VPC). Ao encaminhar registros de VPN para o Google SecOps, você pode analisar atividades de conexão de VPN, detectar possíveis riscos de segurança e monitorar padrões de tráfego.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à AWS.

Configurar o AWS IAM e o S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para uso futuro.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o Usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso futuro.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar o CloudTrail para o registro do AWS VPN

  1. Faça login no Console de Gerenciamento da AWS.
  2. Na barra de pesquisa, digite e selecione CloudTrail na lista de serviços.
  3. Clique em Criar trilha.
  4. Informe um nome de trilha, por exemplo, VPN-Activity-Trail.
  5. Marque a caixa de seleção Ativar para todas as contas na minha organização.
  6. Digite o URI do bucket do S3 criado anteriormente (o formato deve ser s3://your-log-bucket-name/) ou crie um novo bucket do S3.
  7. Se o SSE-KMS estiver ativado, forneça um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
  8. Deixe as outras configurações como padrão.
  9. Clique em Próxima.
  10. Selecione Eventos de gerenciamento para Todos e Eventos de dados para Serviços de rede e VPN em Tipos de evento.
  11. Clique em Próxima.
  12. Revise as configurações em Revisar e criar.

  13. Clique em Criar trilha.

  14. Opcional: se você criou um bucket durante a configuração do CloudTrail, siga este processo:

    1. Acesse S3.
    2. Identifique e selecione o bucket de registros recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e salve.

Configurar o registro da AWS Client VPN

  1. Acesse o console da AWS Client VPN.
  2. Em Endpoints da VPN do cliente, selecione o endpoint necessário.
  3. Na seção Registro, clique em Ativar registro e especifique um grupo de registro do Amazon CloudWatch para onde os registros de conexão da VPN serão enviados.

Configurar um feed no Google SecOps para processar registros de VPN da AWS

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed, por exemplo, AWS VPN Logs.
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione AWS VPN como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do bucket.
    • O URI é: selecione Diretório ou Diretório que inclui subdiretórios.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com sua preferência.

    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Alterações

2024-09-19

Melhoria:

  • connection-attempt-status foi mapeado para security_result.action.

2024-07-19

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.