收集 AWS VPN 記錄

支援的國家/地區:

本文說明如何將 AWS VPN 記錄擷取至 Google Security Operations。AWS VPN 可在內部部署網路和 Amazon 虛擬私有雲 (VPC) 之間建立安全連線。將 VPN 記錄轉送至 Google SecOps 後,您就能分析 VPN 連線活動、偵測潛在的安全性風險,以及監控流量模式。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • AWS 的特殊存取權

設定 AWS IAM 和 S3

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 請儲存 bucket 的「名稱」和「區域」,以供後續使用。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「權限政策」部分,按一下「新增權限」
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「新增權限」

如何設定 CloudTrail 以進行 AWS VPN 記錄

  1. 登入 AWS 管理主控台
  2. 在搜尋列中輸入並選取服務清單中的 CloudTrail
  3. 按一下「建立路徑」
  4. 提供追蹤記錄名稱,例如「VPN-Activity-Trail」
  5. 勾選「為機構中的所有帳戶啟用」核取方塊。
  6. 輸入先前建立的 S3 bucket URI (格式應為 s3://your-log-bucket-name/),或建立新的 S3 bucket。
  7. 如果啟用 SSE-KMS,請提供 AWS KMS 別名的名稱,或選擇現有的 AWS KMS 金鑰
  8. 其他設定可維持預設值。
  9. 點選「下一步」
  10. 在「事件類型」下方,將「管理事件」選取為「全部」,並將「資料事件」選取為「網路和 VPN 服務」
  11. 點選「下一步」
  12. 在「檢閱並建立」中檢查設定。

  13. 按一下「建立路徑」

  14. 選用:如果您在 CloudTrail 設定期間建立新的值區,請繼續執行下列程序:

    1. 前往 S3
    2. 找出並選取新建立的記錄檔 bucket。
    3. 選取「AWSLogs」AWSLogs資料夾。
    4. 按一下「複製 S3 URI」並儲存。

如何設定 AWS Client VPN 記錄

  1. 前往 AWS Client VPN 控制台。
  2. 在「Client VPN Endpoints」下方,選取所需端點。
  3. 在「記錄」部分,按一下「啟用記錄」,然後指定要將 VPN 連線記錄傳送至哪個 Amazon CloudWatch 記錄群組

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「AWS VPN 記錄」
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取「AWS VPN」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
    • URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)

    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

    • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 值區所在的區域。
  • S3 URI:bucket URI。
    • s3://your-log-bucket-name/
      • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
  • URI 是:根據 bucket 結構,選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)
  • 來源刪除選項:根據擷取偏好設定選取刪除選項。

  • 存取金鑰 ID:具備 S3 值區讀取權限的使用者存取金鑰。

  • 存取密鑰:使用者的存取密鑰,具備從 S3 bucket 讀取的權限。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。