Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Invia AWS WAF i log a Splunk utilizzando AWS Firewall Manager Amazon Data Firehose
Creato da Michael Friedenthal (AWS), Aman Kaur Gandhi () e JJ Johnson () AWS AWS
Ambiente: PoC o pilota | Tecnologie: distribuzione dei contenuti; sicurezza, identità, conformità | Carico di lavoro: tutti gli altri carichi di lavoro |
AWSservizi: AWS Firewall Manager; Amazon Data Firehose; AWS WAF |
Riepilogo
Storicamente, esistevano due modi per spostare i dati in Splunk: un'architettura push o una pull. Un'architettura pull offre garanzie di consegna dei dati attraverso nuovi tentativi, ma richiede risorse dedicate in Splunk per raccogliere i dati. Le architetture pull di solito non sono in tempo reale a causa del polling. Un'architettura push in genere ha una latenza inferiore, è più scalabile e riduce la complessità e i costi operativi. Tuttavia, non garantisce la consegna e in genere richiede agenti.
L'integrazione di Splunk con Amazon Data Firehose fornisce dati di streaming in tempo reale a Splunk tramite HTTP un raccoglitore di eventi (). HEC Questa integrazione offre i vantaggi delle architetture push e pull: garantisce la consegna dei dati tramite nuovi tentativi, è quasi in tempo reale, è a bassa latenza e bassa complessità. Invia i dati HEC in modo rapido ed efficiente tramite o direttamente a Splunk. HTTP HTTPS HECssono basati su token, il che elimina la necessità di codificare le credenziali in un'applicazione o nei file di supporto.
In base a una AWS Firewall Manager policy, puoi configurare la registrazione per tutto il ACL traffico AWS WAF web di tutti i tuoi account e quindi utilizzare un flusso di distribuzione Firehose per inviare i dati di registro a Splunk per il monitoraggio, la visualizzazione e l'analisi. Questa soluzione offre i seguenti vantaggi:
Gestione e registrazione centralizzate del ACL traffico AWS WAF web in tutti gli account
Integrazione Splunk con un unico Account AWS
Scalabilità
Distribuzione quasi in tempo reale dei dati di registro
Ottimizzazione dei costi attraverso l'uso di una soluzione serverless, in modo da non dover pagare per le risorse inutilizzate.
Prerequisiti e limitazioni
Prerequisiti
Un attivo Account AWS che fa parte di un'organizzazione in. AWS Organizations
È necessario disporre delle seguenti autorizzazioni per abilitare la registrazione con Firehose:
iam:CreateServiceLinkedRole
firehose:ListDeliveryStreams
wafv2:PutLoggingConfiguration
AWS WAF e il relativo sito web ACLs deve essere configurato. Per istruzioni, vedi Guida introduttiva a AWS WAF.
AWS Firewall Manager deve essere configurato. Per istruzioni, consulta i AWS Firewall Manager prerequisiti.
Le politiche di sicurezza di Firewall Manager per AWS WAF devono essere configurate. Per istruzioni, vedere Guida introduttiva alle AWS Firewall ManagerAWS WAF politiche.
Splunk deve essere configurato con un HTTP endpoint pubblico raggiungibile da Firehose.
Limitazioni
Account AWS Devono essere gestiti in un'unica organizzazione in. AWS Organizations
Il Web ACL deve trovarsi nella stessa regione del flusso di distribuzione. Se stai acquisendo log per Amazon CloudFront, crea il flusso di consegna Firehose nella regione Stati Uniti orientali (Virginia settentrionale),.
us-east-1
Il componente aggiuntivo Splunk per Firehose è disponibile per le distribuzioni Splunk Cloud a pagamento, le implementazioni distribuite di Splunk Enterprise e le implementazioni Splunk Enterprise a istanza singola. Questo componente aggiuntivo non è supportato per le distribuzioni di prova gratuite di Splunk Cloud.
Architettura
Stack tecnologico Target
Firewall Manager
Firehose
Amazon Simple Storage Service (Amazon S3)
AWS WAF
Splunk
Architettura di destinazione
L'immagine seguente mostra come utilizzare Firewall Manager per registrare centralmente tutti i AWS WAF dati e inviarli a Splunk tramite Firehose.
Il AWS WAF Web ACLs invia i dati di registro del firewall a Firewall Manager.
Firewall Manager invia i dati di registro a Firehose.
Il flusso di distribuzione Firehose inoltra i dati di registro a Splunk e a un bucket S3. Il bucket S3 funge da backup in caso di errore nel flusso di distribuzione di Firehose.
Automazione e scalabilità
Questa soluzione è progettata per scalare e adattarsi a tutto il AWS WAF Web ALCs all'interno dell'organizzazione. È possibile configurare tutto il Web ACLs per utilizzare la stessa istanza di Firehose. Tuttavia, se desideri configurare e utilizzare più istanze di Firehose, puoi farlo.
Strumenti
Servizi AWS
AWS Firewall Managerè un servizio di gestione della sicurezza che consente di configurare e gestire centralmente le regole del firewall tra gli account e le applicazioni in. AWS Organizations
Amazon Data Firehose ti aiuta a distribuire dati di streaming
in tempo reale ad altri Servizi AWS HTTP endpoint personalizzati ed HTTP endpoint di proprietà di fornitori di servizi terzi supportati, come Splunk. Amazon Simple Storage Service (Amazon S3) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
AWS WAFè un firewall per applicazioni Web che ti aiuta a monitorare HTTP e HTTPS inoltrare le richieste alle risorse protette delle tue applicazioni Web.
Altri strumenti
Splunk
ti aiuta a monitorare, visualizzare e analizzare i dati di registro.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Installa l'app Splunk per AWS. |
| Amministratore della sicurezza, amministratore Splunk |
Installa il componente aggiuntivo per. AWS WAF | Ripeti le istruzioni precedenti per installare il componente aggiuntivo AWS Web Application Firewall per Splunk. | Amministratore della sicurezza, amministratore Splunk |
Installa e configura il componente aggiuntivo Splunk per Firehose. |
| Amministratore della sicurezza, amministratore Splunk |
Attività | Descrizione | Competenze richieste |
---|---|---|
Concedi a Firehose l'accesso a una destinazione Splunk. | Configura la politica di accesso che consente a Firehose di accedere a una destinazione Splunk e di eseguire il backup dei dati di registro su un bucket S3. Per ulteriori informazioni, consulta Concedere a Firehose l'accesso a una destinazione Splunk. | Amministratore della sicurezza |
Crea un flusso di distribuzione Firehose. | Nello stesso account ACLs per cui gestisci il Web AWS WAF, crea un flusso di distribuzione in Firehose. È necessario avere un IAM ruolo durante la creazione di un flusso di distribuzione. Firehose assume tale IAM ruolo e ottiene l'accesso al bucket S3 specificato. Per istruzioni, consulta Creazione di un flusso di distribuzione. Tieni presente quanto segue:
Ripeti questo processo per ogni token configurato nel raccoglitore di eventi. HTTP | Amministratore della sicurezza |
Testa il flusso di distribuzione. | Testa il flusso di consegna per verificare che sia configurato correttamente. Per istruzioni, consulta Test using Splunk come destinazione nella documentazione di Firehose. | Amministratore della sicurezza |
Attività | Descrizione | Competenze richieste |
---|---|---|
Configurare le politiche del Firewall Manager. | Le policy di Firewall Manager devono essere configurate per abilitare la registrazione e inoltrare i log al flusso di distribuzione Firehose corretto. Per ulteriori informazioni e istruzioni, vedere Configurazione della registrazione per una policy. AWS WAF | Amministratore della sicurezza |
Risorse correlate
AWS resources
Registrazione del ACL traffico web (AWS WAF documentazione)
Configurazione della registrazione per una AWS WAF politica (documentazione)AWS WAF
In che modo posso inviare i log di VPC flusso a Splunk utilizzando Amazon Data Firehose?
(Centro di conoscenza)AWS Potenzia l'inserimento dei dati in Splunk utilizzando Amazon Data Firehose
(post sul blog)AWS
Documentazione Splunk