Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Vea los registros y las métricas de AWS Network Firewall mediante Splunk
Creado por Ivo Pinto
Entorno: PoC o piloto | Tecnologías: redes CloudNative; entrega de contenido; operaciones; seguridad, identidad y cumplimiento | Carga de trabajo: todas las demás cargas de trabajo |
Servicios de AWS: Amazon CloudWatch; Amazon CloudWatch Logs; AWS Network Firewall |
Resumen
Muchas organizaciones utilizan Splunk Enterprise
Para lograrlo, debe crear un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk para AWS utiliza esta función para acceder CloudWatch. Debe configurar el complemento Splunk para que AWS extraiga métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados.
Requisitos previos y limitaciones
Requisitos previos
Una instancia de Splunk Enterprise, versión 8.2.2 o posterior
Una cuenta de AWS activa
Network Firewall, instalado y configurado para enviar CloudWatch registros a Logs
Limitaciones
Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la nube de AWS.
La recopilación de datos mediante una función de IAM detectada automáticamente para Amazon EC2 no está permitida en las regiones de AWS en China.
Arquitectura
En el siguiente diagrama se ilustra lo siguiente:
Network Firewall publica CloudWatch registros en Logs.
Splunk Enterprise recupera métricas y registros de. CloudWatch
Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto final de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de enrutamiento. Si bien este patrón utiliza una única instancia de Amazon EC2 como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar registros a CloudWatch Logs.
Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la misma VPC que la carga de trabajo, siempre que pueda acceder a CloudWatch las API.
Herramientas
Servicios de AWS
Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.
Amazon Elastic Compute Cloud (Amazon EC2) proporciona capacidad de computación escalable en la nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.
AWS Network Firewall es un servicio de detección y prevención de intrusiones y de firewall de red con estado y administrado para nubes privadas virtuales (VPC) en la nube de AWS.
Otras herramientas
Splunk
le permite monitorear, visualizar y analizar los datos de registro.
Epics
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cree la política de IAM. | Siga las instrucciones de Creación de políticas mediante el editor JSON para crear la política de IAM que conceda acceso de solo lectura a los datos y las métricas de CloudWatch Logs. CloudWatch Pegue la siguiente política de en el editor JSON.
| Administrador de AWS |
Crea un nuevo rol de IAM. | Siga las instrucciones de Crear un rol para delegar permisos a un servicio de AWS para crear el rol de IAM al que utiliza el complemento Splunk para AWS para acceder. CloudWatch Para las políticas de permisos, elija la política que creó anteriormente. | Administrador de AWS |
Asigne la función de IAM a las instancias EC2 del clúster de Splunk. |
| Administrador de AWS |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Instale el complemento. |
| Administrador de Splunk |
Configure las credenciales de AWS. |
Para obtener más información, consulte Buscar un rol de IAM en su instancia de plataforma Splunk en la documentación de Splunk | Administrador de Splunk |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros. |
De forma predeterminada, Splunk recupera los datos del registro cada 10 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una entrada de CloudWatch registros mediante Splunk Web | Administrador de Splunk |
Configure la recuperación de las métricas de Network Firewall desde CloudWatch. |
De forma predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una CloudWatch entrada mediante Splunk Web | Administrador de Splunk |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Vea las direcciones IP de origen principal. |
| Administrador de Splunk |
Ver las estadísticas de los paquetes. |
| Administrador de Splunk |
Vea los puertos de origen más utilizados. |
| Administrador de Splunk |
Recursos relacionados
Documentación de AWS
Creación de un rol para delegar permisos a un servicio de AWS (documentación de IAM)
Creación de políticas de IAM (documentación de IAM)
Registro y supervisión en AWS Network Firewall (documentación de Network Firewall)
Configuraciones de tablas de enrutamiento para AWS Network Firewall (documentación de Network Firewall)
Publicaciones del blog de AWS
AWS Marketplace