Vea los registros y las métricas de AWS Network Firewall mediante Splunk - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Vea los registros y las métricas de AWS Network Firewall mediante Splunk

Creado por Ivo Pinto

Entorno: PoC o piloto

Tecnologías: redes CloudNative; entrega de contenido; operaciones; seguridad, identidad y cumplimiento

Carga de trabajo: todas las demás cargas de trabajo

Servicios de AWS: Amazon CloudWatch; Amazon CloudWatch Logs; AWS Network Firewall

Resumen

Muchas organizaciones utilizan Splunk Enterprise como una herramienta centralizada de agregación y visualización de registros y métricas de diferentes fuentes. Este patrón le ayuda a configurar Splunk para obtener registros y métricas de AWS Network Firewall de Amazon CloudWatch Logs mediante el complemento Splunk para AWS. 

Para lograrlo, debe crear un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk para AWS utiliza esta función para acceder CloudWatch. Debe configurar el complemento Splunk para que AWS extraiga métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados.

Requisitos previos y limitaciones

Requisitos previos 

Limitaciones

  • Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la nube de AWS.

  • La recopilación de datos mediante una función de IAM detectada automáticamente para Amazon EC2 no está permitida en las regiones de AWS en China.

Arquitectura

Arquitectura de registro de AWS Network Firewall y Splunk

En el siguiente diagrama se ilustra lo siguiente:

  1. Network Firewall publica CloudWatch registros en Logs.

  2. Splunk Enterprise recupera métricas y registros de. CloudWatch

Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto final de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de enrutamiento. Si bien este patrón utiliza una única instancia de Amazon EC2 como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar registros a CloudWatch Logs.

Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la misma VPC que la carga de trabajo, siempre que pueda acceder a CloudWatch las API.

Herramientas

Servicios de AWS

  • Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.

  • Amazon Elastic Compute Cloud (Amazon EC2) proporciona capacidad de computación escalable en la nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

  • AWS Network Firewall es un servicio de detección y prevención de intrusiones y de firewall de red con estado y administrado para nubes privadas virtuales (VPC) en la nube de AWS.

Otras herramientas

  • Splunk le permite monitorear, visualizar y analizar los datos de registro.

Epics

TareaDescripciónHabilidades requeridas

Cree la política de IAM.

Siga las instrucciones de Creación de políticas mediante el editor JSON para crear la política de IAM que conceda acceso de solo lectura a los datos y las métricas de CloudWatch Logs. CloudWatch Pegue la siguiente política de en el editor JSON.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
Administrador de AWS

Crea un nuevo rol de IAM.

Siga las instrucciones de Crear un rol para delegar permisos a un servicio de AWS para crear el rol de IAM al que utiliza el complemento Splunk para AWS para acceder. CloudWatch Para las políticas de permisos, elija la política que creó anteriormente.

Administrador de AWS

Asigne la función de IAM a las instancias EC2 del clúster de Splunk.

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instancias.

  3. Seleccione las instancias EC2 en el clúster de Splunk.

  4. Elija Acciones, Seguridad y, a continuación, Modificar la función de IAM.

  5. Seleccione el rol de IAM que creó anteriormente y, a continuación, elija Guardar.

Administrador de AWS
TareaDescripciónHabilidades requeridas

Instale el complemento.

  1. En el panel de control de Splunk, dirígete a Splunk Apps.

  2. Busca el complemento Splunk para Amazon Web Services.

  3. Elija Instalar.

  4. Proporcione sus credenciales de Splunk.

Administrador de Splunk

Configure las credenciales de AWS.

  1. En el panel de control de Splunk, diríjase al complemento Splunk para AWS.

  2. Elija Configuration (Configuración).

  3. En la columna Función de IAM detectada automáticamente, seleccione la función de IAM que creó anteriormente.

Para obtener más información, consulte Buscar un rol de IAM en su instancia de plataforma Splunk en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros.

  1. En el panel de control de Splunk, diríjase al complemento Splunk para AWS.

  2. Elija Entrada.

  3. Elija Crear nueva entrada.

  4. En la lista, elija Tipo de datos personalizado y, a continuación, seleccione CloudWatch Registros.

  5. Proporcione el nombre, la cuenta de AWS, la región de AWS y el grupo de registros de sus registros de Network Firewall.

  6. Seleccione Guardar.

De forma predeterminada, Splunk recupera los datos del registro cada 10 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una entrada de CloudWatch registros mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk

Configure la recuperación de las métricas de Network Firewall desde CloudWatch.

  1. En el panel de control de Splunk, diríjase al complemento Splunk para AWS.

  2. Elija Entrada.

  3. Elija Crear nueva entrada.

  4. En la lista, elija CloudWatch.

  5. Proporcione el nombre, la cuenta de AWS y la región de AWS para sus métricas de Network Firewall.

  6. Junto a Configuración métrica, selecciona Editar en modo avanzado.

  7. (Opcional) Elimine todos los espacios de nombres preconfigurados. 

  8. Elija Agregar espacio de nombres y, a continuación, asígnele el nombre AWS/. NetworkFirewall

  9. En Dimension Value, añada lo siguiente.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. En Métricas, elija Todas.

  11. En Estadísticas métricas, elija Suma.

  12. Seleccione Aceptar.

  13. Seleccione Guardar.

De forma predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una CloudWatch entrada mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Vea las direcciones IP de origen principal.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Esta consulta muestra una tabla de las direcciones IP de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Ver las estadísticas de los paquetes.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Esta consulta muestra una tabla con las métricas DroppedPackets y ReceivedPackets por minuto. PassedPackets

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Vea los puertos de origen más utilizados.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Esta consulta muestra una tabla de los puertos de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Recursos relacionados

Documentación de AWS

Publicaciones del blog de AWS

AWS Marketplace