Raccogli i log di flusso del gateway di transito VPC AWS

Supportato in:

Questo documento spiega come importare i log di flusso di AWS VPC Transit Gateway in Google Security Operations utilizzando CloudWatch Logs e Kinesis Data Firehose. I log di flusso di Transit Gateway acquisiscono metadati dettagliati sul traffico di rete negli allegati di Transit Gateway. Questa integrazione trasmette in streaming questi log in Google SecOps per il monitoraggio e l'analisi della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS

Abilita i log di flusso di Transit Gateway (in CloudWatch Logs)

  1. Accedi alla console AWS.
  2. Vai a VPC > Gateway di transito (o Allegati del gateway di transito).
  3. Seleziona le risorse di destinazione.
  4. Fai clic su Azioni > Crea log di flusso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Destinazione: seleziona Invia a CloudWatch Logs.
    • Gruppo di log: scegli o crea un gruppo di log (ad esempio /aws/tgw/flowlogs).
    • Ruolo IAM: seleziona un ruolo che possa scrivere in CloudWatch Logs.
    • Intervallo di aggregazione massimo: scegli 1 minuto (opzione consigliata) o 10 minuti.
    • Formato record log: seleziona Predefinito (o Personalizzato se hai bisogno di campi aggiuntivi).
  6. Fai clic su Crea log di flusso.

Configura un feed in Google SecOps per importare i log di flusso del gateway di transito

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci AWS Transit Gateway Flow Logs — CloudWatch via Firehose.
  4. Seleziona Amazon Data Firehose come Tipo di origine.
  5. Seleziona Amazon VPC Transit Gateway Flow Logs come tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Delimitatore di divisione: n facoltativo.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti > Invia.
  9. Nei Dettagli del feed, fai clic su Genera chiave segreta e copia la chiave segreta.
  10. Copia l'URL dell'endpoint HTTPS del feed da Endpoint Information (Informazioni sull'endpoint).
  11. Nella consoleGoogle Cloud > API e servizi > Credenziali > Crea credenziali > Chiave API, crea una chiave API e limitane l'accesso all'API Chronicle. Copia la chiave API.

Configura Amazon Kinesis Data Firehose (direttamente su Google SecOps)

  1. Nella console AWS, vai a Kinesis > Data Firehose > Crea stream di distribuzione.
  2. Fornisci i seguenti dettagli di configurazione:
    • Origine: seleziona Inserimento diretto o altre origini.
    • Destinazione: scegli Endpoint HTTP.
    • URL endpoint HTTP: inserisci ENDPOINT_URL?key=API_KEY (utilizza l'URL dell'endpoint HTTPS del feed e la chiave API del passaggio precedente).
    • Metodo HTTP: seleziona POST.
    • Chiave di accesso: incolla la chiave segreta generata nel feed.
    • Suggerimenti per il buffering: imposta Dimensione buffer = 1 MiB, Intervallo buffer = 60 secondi.
    • Compressione: seleziona Disattivata.
    • Backup S3: seleziona Disattivato.
    • Lascia le impostazioni Riprova e Registrazione invariate.
  3. Fai clic su Crea stream di pubblicazione. (Nome esempio: cwlogs-to-secops)

Configura le autorizzazioni IAM e abbonati al gruppo di log

  1. Nella console AWS, vai a IAM > Policy > Crea policy > Scheda JSON.

  2. Inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
    }
  ]
}
    • Sostituisci <region> e <account-id> con la tua regione AWS e il tuo ID account.

  3. Assegna un nome alla policy CWLtoFirehoseWrite e fai clic su Crea policy.

  4. Vai a IAM > Ruoli.

  5. Fai clic su Crea ruolo.

  6. Seleziona Norma di attendibilità personalizzata e inserisci quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.<your-region>.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Collega la policy CWLtoFirehoseWrite al ruolo.

  8. Assegna al ruolo il nome CWLtoFirehoseRole e fai clic su Crea ruolo.

  9. Vai a CloudWatch > Log > Gruppi di log.

  10. Seleziona il gruppo di log di Transit Gateway che hai attivato in precedenza.

  11. Apri la scheda Filtri sottoscrizione e fai clic su Crea.

  12. Scegli Crea filtro di iscrizione ad Amazon Kinesis Data Firehose.

  13. Configura quanto segue:

    • Destinazione: stream di pubblicazione cwlogs-to-secops.
    • Concedi autorizzazione: ruolo CWLtoFirehoseRole.
    • Nome filtro: inserisci all-events.
    • Pattern di filtro: lascia vuoto per inviare tutti gli eventi.

  14. Fai clic su Avvia streaming.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.