Invia AWS WAF i log a Splunk utilizzando AWS Firewall Manager Amazon Data Firehose

Creato da Michael Friedenthal (AWS), Aman Kaur Gandhi () e JJ Johnson () AWS AWS

Ambiente: PoC o pilota	Tecnologie: distribuzione dei contenuti; sicurezza, identità, conformità	Carico di lavoro: tutti gli altri carichi di lavoro
AWSservizi: AWS Firewall Manager; Amazon Data Firehose; AWS WAF

Riepilogo

Storicamente, esistevano due modi per spostare i dati in Splunk: un'architettura push o una pull. Un'architettura pull offre garanzie di consegna dei dati attraverso nuovi tentativi, ma richiede risorse dedicate in Splunk per raccogliere i dati. Le architetture pull di solito non sono in tempo reale a causa del polling. Un'architettura push in genere ha una latenza inferiore, è più scalabile e riduce la complessità e i costi operativi. Tuttavia, non garantisce la consegna e in genere richiede agenti.

L'integrazione di Splunk con Amazon Data Firehose fornisce dati di streaming in tempo reale a Splunk tramite HTTP un raccoglitore di eventi (). HEC Questa integrazione offre i vantaggi delle architetture push e pull: garantisce la consegna dei dati tramite nuovi tentativi, è quasi in tempo reale, è a bassa latenza e bassa complessità. Invia i dati HEC in modo rapido ed efficiente tramite o direttamente a Splunk. HTTP HTTPS HECssono basati su token, il che elimina la necessità di codificare le credenziali in un'applicazione o nei file di supporto.

In base a una AWS Firewall Manager policy, puoi configurare la registrazione per tutto il ACL traffico AWS WAF web di tutti i tuoi account e quindi utilizzare un flusso di distribuzione Firehose per inviare i dati di registro a Splunk per il monitoraggio, la visualizzazione e l'analisi. Questa soluzione offre i seguenti vantaggi:

• Gestione e registrazione centralizzate del ACL traffico AWS WAF web in tutti gli account

• Integrazione Splunk con un unico Account AWS

• Scalabilità

• Distribuzione quasi in tempo reale dei dati di registro

• Ottimizzazione dei costi attraverso l'uso di una soluzione serverless, in modo da non dover pagare per le risorse inutilizzate.

Prerequisiti e limitazioni

Prerequisiti

• Un attivo Account AWS che fa parte di un'organizzazione in. AWS Organizations

• È necessario disporre delle seguenti autorizzazioni per abilitare la registrazione con Firehose:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

• AWS WAF e il relativo sito web ACLs deve essere configurato. Per istruzioni, vedi Guida introduttiva a AWS WAF.

• AWS Firewall Manager deve essere configurato. Per istruzioni, consulta i AWS Firewall Manager prerequisiti.

• Le politiche di sicurezza di Firewall Manager per AWS WAF devono essere configurate. Per istruzioni, vedere Guida introduttiva alle AWS Firewall ManagerAWS WAF politiche.

• Splunk deve essere configurato con un HTTP endpoint pubblico raggiungibile da Firehose.

Limitazioni

• Account AWS Devono essere gestiti in un'unica organizzazione in. AWS Organizations

• Il Web ACL deve trovarsi nella stessa regione del flusso di distribuzione. Se stai acquisendo log per Amazon CloudFront, crea il flusso di consegna Firehose nella regione Stati Uniti orientali (Virginia settentrionale),. us-east-1

• Il componente aggiuntivo Splunk per Firehose è disponibile per le distribuzioni Splunk Cloud a pagamento, le implementazioni distribuite di Splunk Enterprise e le implementazioni Splunk Enterprise a istanza singola. Questo componente aggiuntivo non è supportato per le distribuzioni di prova gratuite di Splunk Cloud.

Architettura

Stack tecnologico Target

• Firewall Manager

• Firehose

• Amazon Simple Storage Service (Amazon S3)

• AWS WAF

• Splunk

Architettura di destinazione

L'immagine seguente mostra come utilizzare Firewall Manager per registrare centralmente tutti i AWS WAF dati e inviarli a Splunk tramite Firehose.

1. Il AWS WAF Web ACLs invia i dati di registro del firewall a Firewall Manager.

2. Firewall Manager invia i dati di registro a Firehose.

3. Il flusso di distribuzione Firehose inoltra i dati di registro a Splunk e a un bucket S3. Il bucket S3 funge da backup in caso di errore nel flusso di distribuzione di Firehose.

Automazione e scalabilità

Questa soluzione è progettata per scalare e adattarsi a tutto il AWS WAF Web ALCs all'interno dell'organizzazione. È possibile configurare tutto il Web ACLs per utilizzare la stessa istanza di Firehose. Tuttavia, se desideri configurare e utilizzare più istanze di Firehose, puoi farlo.

Strumenti

Servizi AWS

• AWS Firewall Managerè un servizio di gestione della sicurezza che consente di configurare e gestire centralmente le regole del firewall tra gli account e le applicazioni in. AWS Organizations

• Amazon Data Firehose ti aiuta a distribuire dati di streaming in tempo reale ad altri Servizi AWS HTTP endpoint personalizzati ed HTTP endpoint di proprietà di fornitori di servizi terzi supportati, come Splunk.

• Amazon Simple Storage Service (Amazon S3) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.

• AWS WAFè un firewall per applicazioni Web che ti aiuta a monitorare HTTP e HTTPS inoltrare le richieste alle risorse protette delle tue applicazioni Web.

Altri strumenti

• Splunk ti aiuta a monitorare, visualizzare e analizzare i dati di registro.

Epiche

Configura Splunk

Attività	Descrizione	Competenze richieste
Installa l'app Splunk per AWS.	Accedi al tuo spedizioniere pesante Splunk. L'impostazione predefinita è. URL http://<IP address>:8000 Nella barra di navigazione a sinistra, accanto a App, scegli il pulsante a forma di ingranaggio. Scegli Sfoglia altre app. Cercare AWS. Per l'app Splunk per AWS, scegli Installa. Inserisci le tue credenziali di accesso a Splunk.com, accetta i termini e le condizioni, quindi scegli Accedi e installa. Seleziona Fatto.	Amministratore della sicurezza, amministratore Splunk
Installa il componente aggiuntivo per. AWS WAF	Ripeti le istruzioni precedenti per installare il componente aggiuntivo AWS Web Application Firewall per Splunk.	Amministratore della sicurezza, amministratore Splunk
Installa e configura il componente aggiuntivo Splunk per Firehose.	Installa e configura il componente aggiuntivo Splunk per Firehose. Come parte dell'installazione e della configurazione, se necessario per la tua piattaforma Splunk, configuri un HTTP Event Collector e prepari l'infrastruttura per inviare i dati di registro ai tuoi indicizzatori. Consulta le istruzioni che corrispondono alla tua implementazione Splunk: Implementazione di Splunk Cloud (documentazione Splunk) Implementazione distribuita di Splunk Enterprise (documentazione Splunk) Implementazione Splunk Enterprise a istanza singola (documentazione Splunk) Importante: interrompi questa procedura dopo aver installato e configurato il componente aggiuntivo Splunk. Non procedere con le istruzioni per configurare Firehose per l'invio di dati alla piattaforma Splunk. Prendi nota del token HTTP Event Collector e dell'endpoint. HTTP Questo valore ti servirà in seguito, quando configurerai il flusso di distribuzione.	Amministratore della sicurezza, amministratore Splunk

Creare il flusso di distribuzione di Firehose

Attività	Descrizione	Competenze richieste
Concedi a Firehose l'accesso a una destinazione Splunk.	Configura la politica di accesso che consente a Firehose di accedere a una destinazione Splunk e di eseguire il backup dei dati di registro su un bucket S3. Per ulteriori informazioni, consulta Concedere a Firehose l'accesso a una destinazione Splunk.	Amministratore della sicurezza
Crea un flusso di distribuzione Firehose.	Nello stesso account ACLs per cui gestisci il Web AWS WAF, crea un flusso di distribuzione in Firehose. È necessario avere un IAM ruolo durante la creazione di un flusso di distribuzione. Firehose assume tale IAM ruolo e ottiene l'accesso al bucket S3 specificato. Per istruzioni, consulta Creazione di un flusso di distribuzione. Tieni presente quanto segue: Il nome del flusso di consegna deve iniziare conaws-waf-logs-. Per la fonte, scegli Direct PUT. Per la modalità di backup S3, scegli Backup di tutti gli eventi, quindi scegli un bucket esistente o creane uno nuovo. Per la destinazione, segui le istruzioni in Scegli Splunk per la tua destinazione nella documentazione di Firehose. Per informazioni sui valori per gli endpoint e i tipi di endpoint Splunk, consulta Configure Amazon Data Firehose nella documentazione di Splunk. Ripeti questo processo per ogni token configurato nel raccoglitore di eventi. HTTP	Amministratore della sicurezza
Testa il flusso di distribuzione.	Testa il flusso di consegna per verificare che sia configurato correttamente. Per istruzioni, consulta Test using Splunk come destinazione nella documentazione di Firehose.	Amministratore della sicurezza

Configurare Firewall Manager per registrare i dati

Attività	Descrizione	Competenze richieste
Configurare le politiche del Firewall Manager.	Le policy di Firewall Manager devono essere configurate per abilitare la registrazione e inoltrare i log al flusso di distribuzione Firehose corretto. Per ulteriori informazioni e istruzioni, vedere Configurazione della registrazione per una policy. AWS WAF	Amministratore della sicurezza

Risorse correlate

AWS resources

• Registrazione del ACL traffico web (AWS WAF documentazione)

• Configurazione della registrazione per una AWS WAF politica (documentazione)AWS WAF

• Tutorial: invio di log di VPC flusso a Splunk utilizzando Amazon Data Firehose (documentazione Firehose)

• In che modo posso inviare i log di VPC flusso a Splunk utilizzando Amazon Data Firehose? (Centro di conoscenza)AWS

• Potenzia l'inserimento dei dati in Splunk utilizzando Amazon Data Firehose (post sul blog)AWS

Documentazione Splunk

• Componente aggiuntivo Splunk per Amazon Data Firehose