Envoyez AWS WAF des logs à Splunk à l'aide AWS Firewall Manager d'Amazon Data Firehose - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoyez AWS WAF des logs à Splunk à l'aide AWS Firewall Manager d'Amazon Data Firehose

Créée par Michael Friedenthal (AWS), Aman Kaur Gandhi (AWS) et JJ Johnson (AWS)

Récapitulatif

Historiquement, il existait deux méthodes pour transférer des données dans Splunk : une architecture push ou pull. Une architecture d'extraction garantit les données de livraison grâce à de nouvelles tentatives, mais elle nécessite des ressources dédiées dans Splunk pour interroger les données. Les architectures d'extraction ne fonctionnent généralement pas en temps réel en raison du sondage. Une architecture push présente généralement une latence plus faible, est plus évolutive et réduit la complexité opérationnelle et les coûts. Cependant, il ne garantit pas la livraison et nécessite généralement des agents.

L'intégration de Splunk à Amazon Data Firehose fournit des données de streaming en temps réel à Splunk via un collecteur d'événements HTTP (HEC). Cette intégration offre les avantages des architectures push et pull : elle garantit la livraison des données par le biais de nouvelles tentatives, se fait en temps quasi réel et présente une faible latence et une faible complexité. Le HEC envoie rapidement et efficacement des données via HTTP ou HTTPS directement à Splunk. HECs sont basés sur des jetons, ce qui élimine le besoin de coder en dur les informations d'identification dans une application ou dans les fichiers de support.

Dans une AWS Firewall Manager politique, vous pouvez configurer la journalisation de l'ensemble du trafic ACL AWS WAF Web de tous vos comptes, puis utiliser un flux de diffusion Firehose pour envoyer ces données de journal à Splunk à des fins de surveillance, de visualisation et d'analyse. Cette solution offre les avantages suivants :

  • Gestion et journalisation centralisées du trafic ACL AWS WAF Web sur tous vos comptes

  • Intégration de Splunk avec un seul Compte AWS

  • Evolutivité

  • Livraison en temps quasi réel des données du journal

  • Optimisation des coûts grâce à l'utilisation d'une solution sans serveur, afin que vous n'ayez pas à payer pour les ressources inutilisées.

Conditions préalables et limitations

Prérequis

  • Un actif Compte AWS qui fait partie d'une organisation dans AWS Organizations.

  • Vous devez disposer des autorisations suivantes pour activer la journalisation avec Firehose :

    • iam:CreateServiceLinkedRole

    • firehose:ListDeliveryStreams

    • wafv2:PutLoggingConfiguration

  • AWS WAF et son site Web ACLs doit être configuré. Pour obtenir des instructions, voir Commencer avec AWS WAF.

  • AWS Firewall Manager doit être configuré. Pour obtenir des instructions, reportez-vous à la section AWS Firewall Manager Conditions préalables.

  • Les politiques de sécurité de Firewall Manager pour AWS WAF doivent être configurées. Pour obtenir des instructions, voir Commencer à utiliser AWS Firewall ManagerAWS WAF les politiques.

  • Splunk doit être configuré avec un point de terminaison HTTP public accessible par Firehose.

Limites

  • Ils Comptes AWS doivent être gérés dans une seule organisation en AWS Organizations.

  • L'ACL Web doit se trouver dans la même région que le flux de diffusion. Si vous capturez des logs pour Amazon CloudFront, créez le flux de diffusion Firehose dans la région USA Est (Virginie du Nord),. us-east-1

  • Le module complémentaire Splunk pour Firehose est disponible pour les déploiements payants de Splunk Cloud, les déploiements distribués de Splunk Enterprise et les déploiements Splunk Enterprise en instance unique. Ce module complémentaire n'est pas pris en charge pour les déploiements d'essai gratuits de Splunk Cloud.

Architecture

Pile technologique cible

  • Firewall Manager

  • Firehose

  • Amazon Simple Storage Service (Amazon S3)

  • AWS WAF

  • Splunk

Architecture cible

L'image suivante montre comment utiliser Firewall Manager pour enregistrer toutes les AWS WAF données de manière centralisée et les envoyer à Splunk via Firehose.

Schéma d'architecture illustrant l'envoi des données du journal AWS WAF à Splunk via Amazon Data Firehose

  1. Le AWS WAF Web ACLs envoie les données du journal du pare-feu à Firewall Manager.

  2. Firewall Manager envoie les données du journal à Firehose.

  3. Le flux de diffusion Firehose transmet les données du journal à Splunk et à un compartiment S3. Le compartiment S3 fait office de sauvegarde en cas d'erreur dans le flux de diffusion Firehose.

Automatisation et évolutivité

Cette solution est conçue pour évoluer et s'adapter à tous les AWS WAF sites ALCs Web de l'organisation. Vous pouvez configurer tous les sites Web ACLs pour utiliser la même instance Firehose. Toutefois, si vous souhaitez configurer et utiliser plusieurs instances de Firehose, vous le pouvez.

Outils

Services AWS

  • AWS Firewall Managerest un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu pour l'ensemble de vos comptes et applications dans AWS Organizations.

  • Amazon Data Firehose vous permet de diffuser des données de streaming en temps réel vers d'autres Services AWS points de terminaison HTTP personnalisés et vers des points de terminaison HTTP appartenant à des fournisseurs de services tiers pris en charge, tels que Splunk.

  • Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.

  • AWS WAFest un pare-feu d'applications Web qui vous aide à surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources protégées de votre application Web.

Autres outils

  • Splunk vous aide à surveiller, visualiser et analyser les données des journaux.

Épopées

TâcheDescriptionCompétences requises

Installez l'application Splunk pour AWS.

  1. Connectez-vous à votre redirecteur Splunk Heavy. L'URL par défaut esthttp://<IP address>:8000.

  2. Dans le menu de navigation de gauche, à côté de Apps, cliquez sur le bouton d'engrenage.

  3. Choisissez Parcourir d'autres applications.

  4. Recherchez AWS.

  5. Pour Splunk App for AWS, choisissez Installer.

  6. Entrez vos identifiants de connexion à Splunk.com, acceptez les termes et conditions, puis choisissez Login and Install.

  7. Sélectionnez Exécuté.

Administrateur de sécurité, administrateur Splunk

Installez le module complémentaire pour AWS WAF.

Répétez les instructions précédentes pour installer le module complémentaire AWS Web Application Firewall pour Splunk.

Administrateur de sécurité, administrateur Splunk

Installez et configurez le module complémentaire Splunk pour Firehose.

  1. Installez et configurez le module complémentaire Splunk pour Firehose. Dans le cadre de l'installation et de la configuration, si nécessaire pour votre plateforme Splunk, vous configurez un collecteur d'événements HTTP et vous préparez l'infrastructure pour envoyer les données du journal à vos indexeurs. Consultez les instructions correspondant à votre déploiement Splunk :

    Important

    Arrêtez cette procédure après avoir installé et configuré le module complémentaire Splunk. Ne suivez pas les instructions de configuration de Firehose pour envoyer des données à la plateforme Splunk.

  2. Notez le jeton du collecteur d'événements HTTP et le point de terminaison HTTP. Vous aurez besoin de cette valeur ultérieurement, lorsque vous configurerez le flux de diffusion.

Administrateur de sécurité, administrateur Splunk
TâcheDescriptionCompétences requises

Accordez à Firehose l'accès à une destination Splunk.

Configurez la politique d'accès qui permet à Firehose d'accéder à une destination Splunk et de sauvegarder les données du journal dans un compartiment S3. Pour plus d'informations, consultez Accorder à Firehose l'accès à une destination Splunk.

Administrateur de sécurité

Créez un flux de diffusion Firehose.

Dans le compte ACLs pour lequel vous gérez le Web AWS WAF, créez un flux de diffusion dans Firehose. Vous devez disposer d'un rôle IAM lorsque vous créez un flux de diffusion. Firehose assume ce rôle IAM et accède au compartiment S3 spécifié. Pour obtenir des instructions, consultez la section Création d'un flux de diffusion. Remarques :

  • Le nom du flux de diffusion doit commencer paraws-waf-logs-.

  • Pour la source, choisissez Direct PUT.

  • Pour le mode de sauvegarde S3, choisissez Sauvegarder tous les événements, puis choisissez un bucket existant ou créez-en un nouveau.

  • Pour la destination, suivez les instructions de la section Choisissez Splunk pour votre destination dans la documentation de Firehose. Pour plus d'informations sur les valeurs des points de terminaison et des types de points de terminaison Splunk, consultez la section Configurer Amazon Data Firehose dans la documentation Splunk.

Répétez ce processus pour chaque jeton que vous avez configuré dans le collecteur d'événements HTTP.

Administrateur de sécurité

Testez le flux de diffusion.

Testez le flux de diffusion pour vérifier qu'il est correctement configuré. Pour obtenir des instructions, consultez la section Tester en utilisant Splunk comme destination dans la documentation de Firehose.

Administrateur de sécurité
TâcheDescriptionCompétences requises

Configurez les politiques de Firewall Manager.

Les politiques de Firewall Manager doivent être configurées pour activer la journalisation et pour transférer les journaux vers le flux de diffusion Firehose approprié. Pour plus d'informations et d'instructions, voir Configuration de la journalisation pour une AWS WAF politique.

Administrateur de sécurité

Ressources connexes

AWS resources

Documentation Splunk