Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la source pour Zeek
Intégration à Zeek
Pour intégrer Zeek à CloudWatch Logs, vous devez configurer à la fois la source et le pipeline. Tout d'abord, configurez votre source Zeek en configurant Amazon S3 et Amazon SQS pour recevoir des données. Configurez ensuite le CloudWatch pipeline pour ingérer les données de votre source dans CloudWatch Logs.
Instructions pour configurer Amazon S3 et Amazon SQS
La configuration de Zeek avec Fluent Bit pour envoyer des journaux vers un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS, des rôles IAM, puis sur la configuration du pipeline. CloudWatch
Configuration des journaux Zeek à l'aide de Fluent Bit
-
Installez Fluent Bit (un collecteur de journaux léger qui lit les fichiers journaux et les transmet vers des destinations telles qu'Amazon S3) sur l'hôte Zeek et configurez-le pour suivre les fichiers journaux Zeek (par exemple,
/opt/zeek/logs/current/*.log). -
Configurez les AWS informations d'identification (rôle IAM ou
aws configure) afin que Fluent Bit soit autorisé à télécharger des objets dans le compartiment Amazon S3. -
Mettez à jour la configuration Fluent Bit pour utiliser le plugin de sortie S3, en spécifiant le nom du compartiment, la région et le chemin clé S3 pour les journaux Zeek.
-
Démarrez et activez le service Fluent Bit pour collecter en permanence les journaux Zeek et les télécharger sur Amazon S3 pour une ingestion en aval.
Configuration d'Amazon S3 et d'Amazon SQS
-
Le compartiment Amazon S3 qui stocke les journaux Zeek doit résider dans la même AWS région.
-
Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à une file d'attente Amazon SQS.
-
Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.
Configuration du CloudWatch pipeline
Lorsque vous configurez le pipeline pour lire les données de Zeek, choisissez Zeek comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.
Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements mappés à plusieurs classes OCSF. Le tableau suivant répertorie les mappages d'événements pris en charge.
| Nom de l’événement | Classe OCSF |
|---|---|
| conn | Activité réseau (4001) |
| dns | Activité DNS (4003) |
| http | Activité HTTP (4002) |
| ssl | Activité réseau (4001) |
| ssh | Activité SSH (4007) |
| kerberos | Authentification (3002) |
| rdp | Activité RDP (4005) |
| files | Activité réseau (4001) |
| remarquer | Constatation de détection (2004) |
| hôtes_connus | Événement de base (0) |
| x509 | Activité réseau (4001) |
| ftp | Activité FTP (4008) |
| smtp | Activité par e-mail (4009) |
| dhcp | Activité DHCP (4004) |
| ntlm | Authentification (3002) |
| fichiers_smb | Activité des PME (4006) |
| smb | Activité des PME (4006) |
| dce_rpc | Activité des PME (4006) |
| ldap | Authentification (3002) |
| ldap_search | Activité réseau (4001) |
| quic | Activité réseau (4001) |
| tunnel | Activité du tunnel (4014) |
| eps | Événement de base (0) |
| bizarre | Événement de base (0) |
| services_connus | Événement de base (0) |
| logiciel | Informations sur l'inventaire des logiciels (5020) |
| reporter | Événement de base (0) |
Les événements qui ne correspondent à aucune transformation de mappage OCSF sont automatiquement transmis et envoyés directement au récepteur configuré sans traitement supplémentaire.
