此页面由 Cloud Translation API 翻译。

收集 AWS VPN 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何将 AWS VPN 日志注入到 Google Security Operations。AWS VPN 可在您的本地网络与 Amazon Virtual Private Cloud (VPC) 之间建立安全连接。通过将 VPN 日志转发到 Google SecOps，您可以分析 VPN 连接活动、检测潜在的安全风险并监控流量模式。

准备工作

确保您满足以下前提条件：

Google SecOps 实例
对 AWS 的特权访问权限

配置 AWS IAM 和 S3

按照以下用户指南创建 Amazon S3 存储桶：创建存储桶。
保存存储桶名称和区域以备后用。
按照以下用户指南创建用户：创建 IAM 用户。
选择创建的用户。
选择安全凭据标签页。
在访问密钥部分中，点击创建访问密钥。
选择第三方服务作为使用情形。
点击下一步。
可选：添加说明标记。
点击创建访问密钥。
点击 Download CSV file（下载 CSV 文件），保存访问密钥和不公开的访问密钥以供日后使用。
点击完成。
选择权限标签页。
在权限政策部分中，点击添加权限。
选择添加权限。
选择直接附加政策。
搜索并选择 AmazonS3FullAccess 政策。
点击下一步。
点击添加权限。

如何为 AWS VPN 日志记录配置 CloudTrail

登录 AWS Management Console。
在搜索栏中，输入并从服务列表中选择 CloudTrail。
点击创建试验。
提供轨迹名称；例如，VPN-Activity-Trail。
选中为我组织中的所有账号启用复选框。
输入之前创建的 S3 存储桶 URI（格式应为：s3://your-log-bucket-name/），或创建一个新的 S3 存储桶。
如果启用了 SSE-KMS，请提供 AWS KMS 别名，或选择现有的 AWS KMS 密钥。
您可以将其他设置保留为默认值。
点击下一步。
在事件类型下，将管理事件从所有更改为数据事件，并将数据事件从所有更改为网络和 VPN 服务。
点击下一步。
在检查并创建中检查设置。
点击创建试验。
可选：如果您在 CloudTrail 配置期间创建了新存储桶，请继续执行以下流程：
1. 前往 S3。
2. 找到并选择新创建的日志存储桶。
3. 选择 AWSLogs 文件夹。
4. 点击复制 S3 URI 并保存。

如何配置 AWS Client VPN 日志记录

前往 AWS Client VPN 控制台。
在 Client VPN 端点下，选择所需的端点。
在 Logging 部分中，点击 enable logging，然后指定一个 Amazon CloudWatch Log group，VPN 连接日志将发送到该组。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed > 添加新 Feed
内容中心 > 内容包 > 开始

如何设置 AWS VPN Feed

点击 Amazon Cloud Platform 包。
找到 AWS VPN 日志类型。
在以下字段中指定值。
- 来源类型：Amazon SQS V2
- 队列名称：要从中读取数据的 SQS 队列名称
- S3 URI：存储桶 URI。
  - s3://your-log-bucket-name/
    - 将 your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
- 源删除选项：根据您的提取偏好设置选择删除选项。
  
  注意：如果您选择 Delete transferred files 或 Delete transferred files and empty directories 选项，请确保您已向服务账号授予适当的权限。
- 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
- SQS 队列访问密钥 ID：一个包含 20 个字符的字母数字字符串形式的账号访问密钥。
- SQS 队列私有访问密钥：一个包含 40 个字符的字母数字字符串形式的账号访问密钥。
高级选项
- Feed 名称：用于标识 Feed 的预填充值。
- 资源命名空间：与 Feed 关联的命名空间。
- 提取标签：应用于相应 Feed 中所有事件的标签。
点击创建 Feed。

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。