Quellkonfiguration für Zeek

Integration mit Zeek

Um Zeek in CloudWatch Logs zu integrieren, müssen Sie sowohl die Quelle als auch die Pipeline konfigurieren. Richten Sie zunächst Ihre Zeek-Quelle ein, indem Sie Amazon S3 und Amazon SQS für den Empfang von Daten konfigurieren. Konfigurieren Sie dann die CloudWatch Pipeline so, dass die Daten aus Ihrer Quelle in Logs aufgenommen werden. CloudWatch

Anweisungen zur Einrichtung von Amazon S3 und Amazon SQS

Die Konfiguration von Zeek mit Fluent Bit zum Senden von Protokollen an einen Amazon S3 S3-Bucket umfasst mehrere Schritte, die sich hauptsächlich auf die Einrichtung des Amazon S3 S3-Buckets, der Amazon SQS SQS-Warteschlange, der IAM-Rollen und die anschließende Konfiguration der Pipeline konzentrieren. CloudWatch

Konfiguration von Zeek-Protokollen mit Fluent Bit

• Installieren Sie Fluent Bit (einen leichten Log-Collector, der Protokolldateien liest und an Ziele wie Amazon S3 weiterleitet) auf dem Zeek-Host und konfigurieren Sie ihn so, dass er Zeek-Protokolldateien verfolgt (zum Beispiel). /opt/zeek/logs/current/*.log

• Konfigurieren Sie die AWS Anmeldeinformationen (IAM-Rolle oderaws configure), sodass Fluent Bit berechtigt ist, Objekte in den Amazon S3 S3-Bucket hochzuladen.

• Aktualisieren Sie die Fluent Bit-Konfiguration, um das S3-Ausgabe-Plugin zu verwenden, und geben Sie den Bucket-Namen, die Region und den S3-Schlüsselpfad für Zeek-Protokolle an.

• Starten und aktivieren Sie den Fluent Bit-Service, um kontinuierlich Zeek-Protokolle zu sammeln und sie zur nachgelagerten Erfassung auf Amazon S3 hochzuladen.

Konfiguration von Amazon S3 und Amazon SQS

• Der Amazon S3 S3-Bucket, der die Zeek-Protokolle speichert, sollte sich in derselben AWS Region befinden.

• Konfigurieren Sie den Amazon S3 S3-Bucket so, dass er Ereignisbenachrichtigungen erstellt, insbesondere für „Object Create“ -Ereignisse. Diese Benachrichtigungen sollten an eine Amazon SQS SQS-Warteschlange gesendet werden.

• Erstellen Sie eine Amazon SQS SQS-Warteschlange in derselben AWS Region wie Ihr Amazon S3 S3-Bucket. Diese Warteschlange erhält Benachrichtigungen, wenn dem Amazon S3 S3-Bucket neue Protokolldateien hinzugefügt werden.

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline für das Lesen von Daten aus Zeek konfigurieren, wählen Sie Zeek als Datenquelle. Nachdem Sie die erforderlichen Informationen eingegeben und die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Ereignisse, die mehreren OCSF-Klassen zugeordnet sind. In der folgenden Tabelle sind die unterstützten Ereigniszuordnungen aufgeführt.

Suchen Sie nach OCSF-Ereigniszuordnungen

Ereignisname	OCSF-Klasse
Conn	Netzwerkaktivität (4001)
dns	DNS-Aktivität (4003)
http	HTTP-Aktivität (4002)
ssl	Netzwerkaktivität (4001)
ssh	SSH-Aktivität (4007)
Kerberos	Authentifizierung (3002)
rdp	RDP-Aktivität (4005)
files	Netzwerkaktivität (4001)
Notiz	Entdeckung und Feststellung (2004)
known_hosts	Basisereignis (0)
x509	Netzwerkaktivität (4001)
ftp	FTP-Aktivität (4008)
smtp	E-Mail-Aktivität (4009)
dhcp	DHCP-Aktivität (4004)
ntlm	Authentifizierung (3002)
smb_files	SMB-Aktivität (4006)
SMB	SMB-Aktivität (4006)
dce_rpc	SMB-Aktivität (4006)
ldap	Authentifizierung (3002)
ldap_search	Netzwerkaktivität (4001)
schnell	Netzwerkaktivität (4001)
Tunnel	Tunnelaktivität (4014)
pe	Basisereignis (0)
seltsam	Basis-Ereignis (0)
bekannte_Dienste	Basisereignis (0)
software	Informationen zum Softwareinventar (5020)
reporter	Basisereignis (0)

Ereignisse, die keiner OCSF-Zuordnungstransformation entsprechen, werden automatisch weitergeleitet und ohne zusätzliche Verarbeitung direkt an die konfigurierte Senke gesendet.