Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi sumber untuk Zeek
Integrasi dengan Zeek
Untuk mengintegrasikan Zeek dengan CloudWatch Log, Anda harus mengonfigurasi sumber dan pipeline. Pertama, atur sumber Zeek Anda dengan mengonfigurasi Amazon S3 dan Amazon SQS untuk menerima data. Kemudian, konfigurasikan CloudWatch pipeline untuk menyerap data dari sumber Anda ke CloudWatch Log.
Petunjuk untuk mengatur Amazon S3 dan Amazon SQS
Mengonfigurasi Zeek dengan Fluent Bit untuk mengirim log ke bucket Amazon S3 melibatkan beberapa langkah, terutama berfokus pada pengaturan bucket Amazon S3, antrian Amazon SQS, peran IAM, dan kemudian mengonfigurasi Pipeline. CloudWatch
Mengkonfigurasi log Zeek menggunakan Fluent Bit
-
Instal Fluent Bit (kolektor log ringan yang membaca file log dan meneruskannya ke tujuan seperti Amazon S3) pada host Zeek dan konfigurasikan untuk mengekor file log Zeek (misalnya,).
/opt/zeek/logs/current/*.log -
Konfigurasikan AWS kredenal (peran IAM atau
aws configure) sehingga Fluent Bit memiliki izin untuk mengunggah objek ke bucket Amazon S3. -
Perbarui konfigurasi Fluent Bit untuk menggunakan plugin keluaran S3, dengan menentukan nama bucket, Region, dan jalur kunci S3 untuk log Zeek.
-
Mulai dan aktifkan layanan Fluent Bit untuk terus mengumpulkan log Zeek dan mengunggahnya ke Amazon S3 untuk konsumsi hilir.
Konfigurasi Amazon S3 dan Amazon SQS
-
Bucket Amazon S3 yang menyimpan log Zeek harus berada di Wilayah yang sama. AWS
-
Konfigurasikan bucket Amazon S3 untuk membuat notifikasi acara, khusus untuk acara “Buat Objek”. Pemberitahuan ini harus dikirim ke antrian Amazon SQS.
-
Buat antrean Amazon SQS di AWS Wilayah yang sama dengan bucket Amazon S3 Anda. Antrian ini akan menerima pemberitahuan saat file log baru ditambahkan ke bucket Amazon S3.
Mengkonfigurasi Pipeline CloudWatch
Saat mengonfigurasi pipeline untuk membaca data dari Zeek, pilih Zeek sebagai sumber data. Setelah mengisi informasi yang diperlukan dan Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.
Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa yang dipetakan ke beberapa kelas OCSF. Tabel berikut mencantumkan pemetaan acara yang didukung.
| Nama peristiwa | Kelas OCSF |
|---|---|
| conn | Aktivitas Jaringan (4001) |
| dns | Aktivitas DNS (4003) |
| http | Aktivitas HTTP (4002) |
| ssl | Aktivitas Jaringan (4001) |
| ssh | Aktivitas SSH (4007) |
| kerberos | Otentikasi (3002) |
| rdp | Aktivitas RDP (4005) |
| file | Aktivitas Jaringan (4001) |
| melihat | Temuan Deteksi (2004) |
| known_hosts | Acara Dasar (0) |
| x509 | Aktivitas Jaringan (4001) |
| ftp | Aktivitas FTP (4008) |
| smtp | Aktivitas Email (4009) |
| dhcp | Aktivitas DHCP (4004) |
| ntlm | Otentikasi (3002) |
| smb_file | Aktivitas SMB (4006) |
| smb | Aktivitas SMB (4006) |
| dce_rpc | Aktivitas SMB (4006) |
| ldap | Otentikasi (3002) |
| ldap_search | Aktivitas Jaringan (4001) |
| quic | Aktivitas Jaringan (4001) |
| terowongan | Aktivitas Terowongan (4014) |
| pe | Acara Dasar (0) |
| aneh | Acara Dasar (0) |
| known_services | Acara Dasar (0) |
| software | Info Persediaan Perangkat Lunak (5020) |
| reporter | Acara Dasar (0) |
Peristiwa yang tidak cocok dengan transformasi pemetaan OCSF apa pun secara otomatis dilewatkan dan dikirim langsung ke wastafel yang dikonfigurasi tanpa pemrosesan tambahan.
