Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del codice sorgente per Zeek
Integrazione con Zeek
Per integrare Zeek con CloudWatch Logs, devi configurare sia l'origine che la pipeline. Innanzitutto, configura la tua fonte Zeek configurando Amazon S3 e Amazon SQS per ricevere dati. Quindi, configura la CloudWatch pipeline per importare i dati dalla fonte in Logs. CloudWatch
Istruzioni per configurare Amazon S3 e Amazon SQS
La configurazione di Zeek con Fluent Bit per inviare i log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS, dei ruoli IAM e quindi sulla configurazione della Pipeline. CloudWatch
Configurazione dei log Zeek utilizzando Fluent Bit
-
Installa Fluent Bit (un raccoglitore di log leggero che legge i file di registro e li inoltra a destinazioni come Amazon S3) sull'host Zeek e configuralo per seguire i file di registro Zeek (ad esempio,).
/opt/zeek/logs/current/*.log -
Configura AWS le credenziali (ruolo IAM o
aws configure) in modo che Fluent Bit abbia l'autorizzazione a caricare oggetti nel bucket Amazon S3. -
Aggiorna la configurazione di Fluent Bit per utilizzare il plug-in di output S3, specificando il nome del bucket, la regione e il percorso chiave S3 per i log di Zeek.
-
Avvia e abilita il servizio Fluent Bit per raccogliere continuamente i log Zeek e caricarli su Amazon S3 per l'inserimento a valle.
Configurazione di Amazon S3 e Amazon SQS
-
Il bucket Amazon S3 che memorizza i log Zeek dovrebbe risiedere nella stessa regione. AWS
-
Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate a una coda Amazon SQS.
-
Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.
Configurazione della pipeline CloudWatch
Quando configuri la pipeline per leggere i dati da Zeek, scegli Zeek come fonte di dati. Dopo aver inserito le informazioni richieste e aver creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch
Classi di eventi Open Cybersecurity Schema Framework supportate
Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi mappati a più classi OCSF. La tabella seguente elenca le mappature degli eventi supportate.
| Nome evento | Classe OCSF |
|---|---|
| truffa | Attività di rete (4001) |
| dns | Attività DNS (4003) |
| http | Attività HTTP (4002) |
| ssl | Attività di rete (4001) |
| ssh | Attività SSH (4007) |
| kerberos | Autenticazione (3002) |
| rdp | Attività RDP (4005) |
| files | Attività di rete (4001) |
| avviso | Scoperta del rilevamento (2004) |
| host_conosciuti | Evento base (0) |
| x509 | Attività di rete (4001) |
| ftp | Attività FTP (4008) |
| smtp | Attività e-mail (4009) |
| dhcp | Attività DHCP (4004) |
| ntlm | Autenticazione (3002) |
| file_smb | Attività SMB (4006) |
| smb | Attività SMB (4006) |
| dce_rpc | Attività SMB (4006) |
| ldap | Autenticazione (3002) |
| ldap_search | Attività di rete (4001) |
| veloce | Attività di rete (4001) |
| tunnel | Attività del tunnel (4014) |
| Animale domestico | Evento base (0) |
| strana | Evento base (0) |
| servizi_conosciuti | Evento base (0) |
| software | Informazioni sull'inventario del software (5020) |
| reporter | Evento base (0) |
Gli eventi che non corrispondono ad alcuna trasformazione di mappatura OCSF vengono trasmessi automaticamente e inviati direttamente al sink configurato senza ulteriore elaborazione.
