Recopila registros de flujo de VPC de AWS

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros de flujo de VPC de AWS con un reenviador de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia AWS_VPC_FLOW.

Antes de comenzar

Configura el flujo de VPC de AWS

Configura el flujo de VPC de AWS según si reenvías los registros a Amazon S3 o a Amazon CloudWatch.

Configura los registros de flujo para que reenvíen registros a Amazon S3

Después de crear y configurar el bucket de Amazon S3, puedes crear registros de flujo para tus interfaces de red, subredes y redes de VPC.

Crea un registro de flujo para una interfaz de red

  1. Accede a la consola de Amazon EC2.
  2. En el panel de navegación, selecciona Interfaces de red.
  3. Selecciona una o más interfaces de red.
  4. Selecciona Acciones > Crear registro de flujo.
  5. Configura la configuración del registro de flujos. Para obtener más información, consulta la sección Configura la configuración de registro de flujo de este documento.

Crea un registro de flujo para una subred

  1. Accede a la consola de Amazon VPC.
  2. En el panel de navegación, selecciona Subredes.
  3. Selecciona una o más subredes.
  4. Selecciona Acciones > Crear registro de flujo.
  5. Configura la configuración del registro de flujos. Para obtener más información, consulta la sección Configura la configuración de registro de flujo de este documento.

Crea un registro de flujo para una VPC

  1. Accede a la consola de Amazon VPC.
  2. En el panel de navegación, selecciona VPC.
  3. Selecciona una o más VPC.
  4. Selecciona Acciones > Crear registro de flujo.
  5. Configura la configuración del registro de flujos. Para obtener más información, consulta la sección Configura la configuración de registro de flujo de este documento.

Configura los parámetros de registro de flujo

  1. En la sección Filtro, especifica el tráfico de IP que se registrará:

    • Aceptar: Registra solo el tráfico aceptado.

    • Rechazar: Registra solo el tráfico rechazado.

    • Todo: Registra el tráfico aceptado y rechazado.

  2. En la sección Intervalo de agregación máximo, selecciona 1 minuto.

  3. En la sección Destino, selecciona Enviar a un bucket de Amazon S3.

  4. En la sección ARN del bucket de S3, especifica el ARN de un bucket de Amazon S3.

  5. En la sección Formato del registro de flujo, especifica los siguientes formatos para el registro de flujo:

    1. Para usar el formato de registro de flujo predeterminado, selecciona Formato predeterminado de AWS.
    2. Para crear un formato personalizado, selecciona Formato personalizado.

  6. Configura el flujo de registro de VPC con el formato de registro de AWS personalizado para usar las funciones de IP reales de MSS.

  7. En la lista Formato de registro, selecciona todos los atributos.

  8. En la sección Vista previa del formato, revisa el formato personalizado.

  9. En la sección Formato de archivo de registro, selecciona Texto (predeterminado).

  10. En la sección Prefijo de S3 compatible con Hive, deja sin marcar la casilla de verificación Habilitar.

  11. En la sección Particionar registros por tiempo, selecciona Cada 1 hora (60 min).

  12. Para agregar una etiqueta al registro de flujo, selecciona Agregar etiqueta nueva y especifica la clave y el valor de la etiqueta.

  13. Selecciona Crear registro de flujo. Para obtener más información, consulta Cómo publicar registros de flujo en Amazon S3.

Configura los registros de flujo en Amazon CloudWatch

Puedes configurar el registro de flujo desde VPC, subredes o interfaces de red.

  1. En la sección Filtro, especifica el tipo de tráfico de IP que se registrará:

    • Aceptar: Registra solo el tráfico aceptado.

    • Rechazar: Registra solo el tráfico rechazado.

    • Todo: Registra el tráfico aceptado y rechazado.

  2. En la sección Intervalo de agregación máximo, selecciona 1 minuto.

  3. En la sección Destino, selecciona Enviar a registros de CloudWatch.

  4. En la sección Grupo de registros de destino, proporciona el nombre del grupo de registros de destino que creaste.

  5. En la lista Rol de IAM, selecciona el nombre del rol. El nombre del rol seleccionado tiene permisos para publicar registros en los registros de CloudWatch.

    El rol de IAM debe incluir los siguientes permisos:

       {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
       ],
       "Resource": "*"
     }
    ]
   }

  6. En la sección Formato del registro de registro, selecciona Formato personalizado para el registro del registro de flujo.

  7. Para agregar una etiqueta al registro de flujo, selecciona Agregar etiqueta nueva y especifica la clave y el valor de la etiqueta.

  8. Selecciona Crear registro de flujo. Para obtener más información, consulta Cómo publicar registros de flujo en Amazon S3.

Amazon S3 se puede configurar para enviar las notificaciones de eventos a Amazon SQS. Para obtener más información, consulta Configura un bucket para notificaciones (tema de SNS o cola de SQS).

Las políticas de usuario de IAM son obligatorias para Amazon S3 y Amazon SQS si se usa Amazon SQS (Amazon S3 con Amazon SQS) como método de recopilación de registros. Para obtener más información, consulta Cómo usar políticas de IAM con AWS KMS.

Según el servicio y la región, identifica los extremos de conectividad. Para ello, consulta la siguiente documentación de AWS:

Configura el reenviador de operaciones de seguridad de Google y el syslog para transferir los registros de flujo de VPC de AWS

  1. Selecciona Configuración de SIEM > Redireccionamientos.
  2. Haz clic en Agregar nuevo remitente.
  3. Ingresa un nombre único para el Nombre del remitente.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre.
  6. En el campo Tipo de registro, selecciona Flujo de VPC de AWS.
  7. En el campo Tipo de recopilador, selecciona Syslog.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y las direcciones de los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar y, luego, en Confirmar.

Para obtener más información sobre los reenvíos de Google Security Operations, consulta la documentación sobre los reenvíos de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo.

Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este código del analizador toma registros sin procesar de AWS CloudTrail en formato JSON que describen eventos de VPC de EC2 y los transforma en un formato de UDM estructurado. Extrae los campos relevantes, les cambia el nombre para que coincidan con el esquema de la UDM y enriquece los datos con contexto adicional, como el tipo de recurso, el entorno de nube y las etiquetas para facilitar el análisis.

Tabla de asignación de UDM para el analizador de VPC de AWS EC2

Campo de registro (en orden ascendente) Asignación de UDM Lógica
CidrBlock event.idm.entity.entity.resource.attribute.labels.cidr_block Se asigna directamente desde el campo "CidrBlock" en el registro sin procesar.
CidrBlock event.idm.entity.entity.network.ip_subnet_range Se asigna directamente desde el campo "CidrBlock" en el registro sin procesar.
CidrBlockAssociation.AssociationID event.idm.entity.entity.resource.attribute.labels.cidr_block_association_association_id Se asigna directamente desde el campo "AssociationID" dentro del array "CidrBlockAssociation" en el registro sin procesar.
CidrBlockAssociation.CidrBlockState.State event.idm.entity.entity.resource.attribute.labels.cidr_block_association_cidr_block_state_state Se asigna directamente desde el campo "Estado" dentro del objeto "CidrBlockState" del array "CidrBlockAssociation" en el registro sin procesar.
CidrBlockAssociation.CidrBlockState.StatusMessage event.idm.entity.entity.resource.attribute.labels.cidr_block_association_cidr_block_state_status_message Se asigna directamente desde el campo "StatusMessage" dentro del objeto "CidrBlockState" del array "CidrBlockAssociation" en el registro sin procesar.
DhcpOptionsID event.idm.entity.entity.resource.attribute.labels.dhcp_options_id Se asigna directamente desde el campo "DhcpOptionsID" en el registro sin procesar.
ID event.idm.entity.entity.resource.product_object_id Se asigna directamente desde el campo "ID" en el registro sin procesar, cuyo nombre se cambia a "VpcID" en el analizador.
ID event.idm.entity.metadata.product_entity_id Se asigna directamente desde el campo "ID" en el registro sin procesar, cuyo nombre se cambia a "VpcID" en el analizador.
InstanceTenancy event.idm.entity.entity.resource.attribute.labels.instance_tenancy Se asigna directamente desde el campo "InstanceTenancy" en el registro sin procesar.
IsDefault event.idm.entity.entity.resource.attribute.labels.is_default Se asigna directamente desde el campo "IsDefault" en el registro sin formato.
Ipv6CidrBlockAssociationSet.AssociationID event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_association_id Se asigna directamente desde el campo "AssociationID" dentro del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
Ipv6CidrBlockAssociationSet.Ipv6CidrBlock event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_ipv6_cidr_block Se asigna directamente desde el campo "Ipv6CidrBlock" dentro del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
Ipv6CidrBlockAssociationSet.Ipv6CidrBlockState.State event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_ipv6_cidr_block_state_state Se asigna directamente desde el campo "Estado" dentro del objeto "Ipv6CidrBlockState" del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
Ipv6CidrBlockAssociationSet.Ipv6CidrBlockState.StatusMessage event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_ipv6_cidr_block_state_status_message Se asigna directamente desde el campo "StatusMessage" dentro del objeto "Ipv6CidrBlockState" del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
Ipv6CidrBlockAssociationSet.Ipv6Pool event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_ipv6_pool Se asigna directamente desde el campo "Ipv6Pool" dentro del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
Ipv6CidrBlockAssociationSet.NetworkBorderGroup event.idm.entity.entity.resource.attribute.labels.ipv6_cidr_block_association_set_network_border_group Se asigna directamente desde el campo "NetworkBorderGroup" dentro del array "Ipv6CidrBlockAssociationSet" en el registro sin procesar.
OwnerID event.idm.entity.entity.resource.attribute.labels.owner_id Se asigna directamente desde el campo "OwnerID" en el registro sin formato.
Estado event.idm.entity.entity.resource.attribute.labels.state Se asigna directamente desde el campo "Estado" en el registro sin procesar.
TagSet.Key event.idm.entity.entity.resource.attribute.labels.key Se asignan directamente desde el campo "Clave" dentro del array "TagSet" en el registro sin procesar. Esto crea una etiqueta nueva para cada etiqueta en "TagSet".
TagSet.Value event.idm.entity.entity.resource.attribute.labels.value Se asigna directamente desde el campo "Value" dentro del array "TagSet" en el registro sin procesar. Esto propaga el valor de cada etiqueta correspondiente creada a partir del campo "Clave".
N/A event.idm.entity.entity.resource.attribute.cloud.environment Está codificado de forma fija en "AMAZON_WEB_SERVICES" en el código del analizador.
N/A event.idm.entity.entity.resource.resource_type Se codifica en "VPC_NETWORK" en el código del analizador.
N/A event.idm.entity.metadata.collected_timestamp Se completa con la marca de tiempo del evento, que se deriva del campo "collection_time" en el registro sin procesar.
N/A event.idm.entity.metadata.entity_type Está codificado en "RESOURCE" en el código del analizador.
N/A event.idm.entity.metadata.product_name Está codificado en “Amazon VPC” en el código del analizador.
N/A event.idm.entity.metadata.vendor_name Está codificado en "AWS" en el código del analizador.
N/A events.timestamp Se completa con la marca de tiempo del evento, que se deriva del campo "collection_time" en el registro sin procesar.