Configuración del origen para Zeek
Integración con Zeek
Para integrar Zeek con Registros de CloudWatch, debe configurar tanto el origen como la canalización. Primero, configure el origen de Zeek mediante la configuración de Amazon S3 y Amazon SQS para recibir datos. A continuación, configure la canalización de CloudWatch para ingerir los datos del origen a Registros de CloudWatch.
Instrucciones para configurar Amazon S3 y Amazon SQS
La configuración de Zeek con Fluent Bit para enviar registros a un bucket de Amazon S3 implica varios pasos, centrados principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS, los roles de IAM y, posteriormente, configurar la canalización de CloudWatch.
Configuración de los registros de Zeek mediante Fluent Bit
-
Instale Fluent Bit, un recopilador de registros ligero que lee archivos de registro y los reenvía a destinos como Amazon S3, en el host de Zeek y configúrelo para realizar el seguimiento continuo de los archivos de registro de Zeek (por ejemplo,
/opt/zeek/logs/current/*.log). -
Configure las credenciales de AWS (rol de IAM o
aws configure) para que Fluent Bit tenga permisos para cargar objetos en el bucket de Amazon S3. -
Actualice la configuración de Fluent Bit para utilizar el complemento de salida de S3. Especifique el nombre del bucket, la región y la ruta de clave de S3 para los registros de Zeek.
-
Inicie y habilite el servicio de Fluent Bit para que recopile continuamente los registros de Zeek y los cargue en Amazon S3 para su posterior ingesta.
Configuración de Amazon S3 y Amazon SQS
-
El bucket de Amazon S3 que almacena los registros de Zeek debe estar ubicado en la misma región de AWS.
-
Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones deben enviarse a una cola de Amazon SQS.
-
Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.
Configuración de la canalización de CloudWatch
Al configurar la canalización para leer datos desde Zeek, elija Zeek como el origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.
Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
Esta integración admite la versión 1.5.0 del esquema OCSF y eventos que se asignan a múltiples clases de OCSF. La siguiente tabla enumera las asignaciones de eventos admitidas.
| Nombre de evento | Clase de OCSF |
|---|---|
| conn | Actividad de red (4001) |
| DNS | Actividad DNS (4003) |
| http | Actividad HTTP (4002) |
| ssl | Actividad de red (4001) |
| ssh | Actividad SSH (4007) |
| kerberos | Autenticación (3002) |
| rdp | Actividad RDP (4005) |
| files | Actividad de red (4001) |
| aviso | Resultado de detección (2004) |
| known_hosts | Evento base (0) |
| x509 | Actividad de red (4001) |
| ftp | Actividad FTP (4008) |
| smtp | Actividad de correo electrónico (4009) |
| dhcp | Actividad DHCP (4004) |
| ntlm | Autenticación (3002) |
| smb_files | Actividad SMB (4006) |
| smb | Actividad SMB (4006) |
| dce_rpc | Actividad SMB (4006) |
| ldap | Autenticación (3002) |
| ldap_search | Actividad de red (4001) |
| quic | Actividad de red (4001) |
| túnel | Actividad de túnel (4014) |
| pe | Evento base (0) |
| weird | Evento base (0) |
| known_services | Evento base (0) |
| software | Información de inventario de software (5020) |
| reporter | Evento base (0) |
Los eventos que no coinciden con ninguna transformación de asignación de OCSF se transfieren automáticamente y se envían directamente al receptor configurado sin procesamiento adicional.
