AWS Network Firewall 로그 수집

이 문서에서는 AWS Network Firewall 로그를 Google Security Operations에 수집하는 방법을 설명합니다. AWS Network Firewall은 악성 트래픽으로부터 VPC를 보호하는 관리형 서비스입니다. 네트워크 방화벽 로그를 Google SecOps로 전송하면 모니터링, 분석, 위협 감지를 개선할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• Google SecOps 인스턴스
• AWS에 대한 액세스 권한

AWS 네트워크 방화벽의 로깅을 구성하는 방법

1. AWS 관리 콘솔에 로그인합니다.
2. Amazon VPC 콘솔을 엽니다.
3. 탐색 창에서 방화벽을 선택합니다.
4. 수정할 방화벽의 이름을 선택합니다.
5. 방화벽 세부정보 탭을 선택합니다.
6. 로깅 섹션에서 수정을 클릭합니다.
7. 흐름, 알림, TLS 로그 유형을 선택합니다.

8. 선택한 각 로그 유형에 대해 대상 유형으로 S3를 선택합니다.

9. 저장을 클릭합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

• SIEM 설정 > 피드 > 새로 추가
• 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

AWS Network Firewall 피드를 설정하는 방법

1. Amazon Cloud Platform 팩을 클릭합니다.
2. AWS Network Firewall 로그 유형을 찾습니다.

3. 다음 필드에 값을 지정합니다.

   • 소스 유형: Amazon SQS V2
   • Queue Name: 읽어올 SQS 큐 이름
   • S3 URI: 버킷 URI입니다.
     • s3://your-log-bucket-name/
       • your-log-bucket-name을 실제 S3 버킷 이름으로 바꿉니다.

   • 소스 삭제 옵션: 수집 환경설정에 따라 삭제 옵션을 선택합니다.

   • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.

   • SQS 대기열 액세스 키 ID: 20자리 영숫자 문자열인 계정 액세스 키입니다.

   • SQS 대기열 보안 비밀 액세스 키: 40자로 된 영숫자 문자열인 계정 액세스 키입니다.

   고급 옵션

   • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
   • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
   • 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

4. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

UDM 매핑 테이블

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.