Coletar registros da VPN da AWS

Compatível com:

Este documento explica como ingerir registros de VPN da AWS no Google Security Operations. A VPN da AWS oferece uma conexão segura entre sua rede local e a Amazon Virtual Private Cloud (VPC). Ao encaminhar registros de VPN para o Google SecOps, você pode analisar as atividades de conexão VPN, detectar possíveis riscos à segurança e monitorar padrões de tráfego.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Configurar o AWS IAM e o S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket.
  2. Salve o Nome e a Região do bucket para uso posterior.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Como configurar o CloudTrail para o registro em log da VPN da AWS

  1. Faça login no Console de Gerenciamento da AWS.
  2. Na barra de pesquisa, digite e selecione CloudTrail na lista de serviços.
  3. Clique em Criar rastreamento.
  4. Forneça um nome para a trilha, por exemplo, VPN-Activity-Trail.
  5. Marque a caixa de seleção Ativar para todas as contas na minha organização.
  6. Digite o URI do bucket do S3 criado anteriormente (o formato deve ser: s3://your-log-bucket-name/) ou crie um novo bucket do S3.
  7. Se o SSE-KMS estiver ativado, forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.
  8. Você pode deixar as outras configurações como padrão.
  9. Clique em Próxima.
  10. Selecione Eventos de gerenciamento como Todos e Eventos de dados como Serviços de rede e VPN em Tipos de eventos.
  11. Clique em Próxima.
  12. Revise as configurações em Revisar e criar.

  13. Clique em Criar rastreamento.

  14. Opcional: se você criou um bucket durante a configuração do CloudTrail, continue com o processo a seguir:

    1. Acesse S3.
    2. Identifique e selecione o bucket de registros recém-criado.
    3. Selecione a pasta AWSLogs.
    4. Clique em Copiar URI do S3 e salve.

Como configurar o registro da VPN do cliente da AWS

  1. Acesse o console da VPN de cliente da AWS.
  2. Em Endpoints de VPN de cliente, selecione o endpoint necessário.
  3. Na seção Logging, clique em enable logging e especifique um grupo de registros do Amazon CloudWatch para onde os registros de conexão VPN serão enviados.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed da VPN da AWS

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro VPN da AWS.

  3. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  4. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.