Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione del codice sorgente per Zeek
## Integrazione con Zeek
Per integrare Zeek con CloudWatch Logs, devi configurare sia l'origine che la pipeline. Innanzitutto, configura la tua fonte Zeek configurando Amazon S3 e Amazon SQS per ricevere dati. Quindi, configura la CloudWatch pipeline per importare i dati dalla fonte in Logs. CloudWatch
## Istruzioni per configurare Amazon S3 e Amazon SQS
La configurazione di Zeek con Fluent Bit per inviare i log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS, dei ruoli IAM e quindi sulla configurazione della Pipeline. CloudWatch
**Configurazione dei log Zeek utilizzando Fluent Bit**
+ Installa Fluent Bit (un raccoglitore di log leggero che legge i file di registro e li inoltra a destinazioni come Amazon S3) sull'host Zeek e configuralo per seguire i file di registro Zeek (ad esempio,). `/opt/zeek/logs/current/*.log`
+ Configura AWS le credenziali (ruolo IAM o`aws configure`) in modo che Fluent Bit abbia l'autorizzazione a caricare oggetti nel bucket Amazon S3.
+ Aggiorna la configurazione di Fluent Bit per utilizzare il plug-in di output S3, specificando il nome del bucket, la regione e il percorso chiave S3 per i log di Zeek.
+ Avvia e abilita il servizio Fluent Bit per raccogliere continuamente i log Zeek e caricarli su Amazon S3 per l'inserimento a valle.
**Configurazione di Amazon S3 e Amazon SQS**
+ Il bucket Amazon S3 che memorizza i log Zeek dovrebbe risiedere nella stessa regione. AWS
+ Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate a una coda Amazon SQS.
+ Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.
## Configurazione della pipeline CloudWatch
Quando configuri la pipeline per leggere i dati da Zeek, scegli Zeek come fonte di dati. Dopo aver inserito le informazioni richieste e aver creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch
## Classi di eventi Open Cybersecurity Schema Framework supportate
Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi mappati a più classi OCSF. La tabella seguente elenca le mappature degli eventi supportate.
**Mappature degli eventi Zeek OCSF**
| Nome evento | Classe OCSF |
| --- | --- |
| truffa | Attività di rete (4001) |
| dns | Attività DNS (4003) |
| http | Attività HTTP (4002) |
| ssl | Attività di rete (4001) |
| ssh | Attività SSH (4007) |
| kerberos | Autenticazione (3002) |
| rdp | Attività RDP (4005) |
| files | Attività di rete (4001) |
| avviso | Scoperta del rilevamento (2004) |
| host\_conosciuti | Evento base (0) |
| x509 | Attività di rete (4001) |
| ftp | Attività FTP (4008) |
| smtp | Attività e-mail (4009) |
| dhcp | Attività DHCP (4004) |
| ntlm | Autenticazione (3002) |
| file\_smb | Attività SMB (4006) |
| smb | Attività SMB (4006) |
| dce\_rpc | Attività SMB (4006) |
| ldap | Autenticazione (3002) |
| ldap\_search | Attività di rete (4001) |
| veloce | Attività di rete (4001) |
| tunnel | Attività del tunnel (4014) |
| Animale domestico | Evento base (0) |
| strana | Evento base (0) |
| servizi\_conosciuti | Evento base (0) |
| software | Informazioni sull'inventario del software (5020) |
| reporter | Evento base (0) |
Gli eventi che non corrispondono ad alcuna trasformazione di mappatura OCSF vengono trasmessi automaticamente e inviati direttamente al sink configurato senza ulteriore elaborazione.