Visualizza i log e i parametri di AWS Network Firewall utilizzando Splunk

Creato da Ivo Pinto

Ambiente: PoC o pilota	Tecnologie: rete CloudNative; distribuzione dei contenuti; operazioni; sicurezza, identità, conformità	Carico di lavoro: tutti gli altri carichi di lavoro
Servizi AWS: Amazon CloudWatch; Amazon CloudWatch Logs; AWS Network Firewall

Riepilogo

Molte organizzazioni utilizzano Splunk Enterprise come strumento centralizzato di aggregazione e visualizzazione per log e metriche provenienti da diverse fonti. Questo modello ti aiuta a configurare Splunk per recuperare i log e i parametri del firewall di rete AWS da CloudWatch Amazon Logs utilizzando il componente aggiuntivo Splunk per AWS. 

A tal fine, crei un ruolo AWS Identity and Access Management (IAM) di sola lettura. Splunk Add-On for AWS utilizza questo ruolo per accedere. CloudWatch Puoi configurare il componente aggiuntivo Splunk per AWS da cui recuperare metriche e log. CloudWatch Infine, crei visualizzazioni in Splunk a partire dai dati e dalle metriche dei log recuperati.

Prerequisiti e limitazioni

Prerequisiti

• Un account Splunk

• Un'istanza Splunk Enterprise, versione 8.2.2 o successiva 

• Un account AWS attivo

• Network Firewall, configurato e configurato per inviare log a CloudWatch Logs

Limitazioni

• Splunk Enterprise deve essere distribuito come cluster di istanze Amazon Elastic Compute Cloud (Amazon EC2) nel cloud AWS.

• La raccolta di dati utilizzando un ruolo IAM scoperto automaticamente per Amazon EC2 non è supportata nelle regioni AWS Cina.

Architettura

Il diagramma illustra quanto segue:

1. Network Firewall pubblica i log in Logs. CloudWatch

2. Splunk Enterprise recupera metriche e log da. CloudWatch

Per compilare metriche e log di esempio in questa architettura, un carico di lavoro genera traffico che attraversa l'endpoint Network Firewall per andare a Internet. Ciò si ottiene mediante l'uso di tabelle di routing. Sebbene questo modello utilizzi una singola istanza Amazon EC2 come carico di lavoro, può essere applicato a qualsiasi architettura purché Network Firewall sia configurato per inviare log a Logs. CloudWatch

Questa architettura utilizza anche un'istanza Splunk Enterprise in un altro cloud privato virtuale (VPC). Tuttavia, l'istanza Splunk può trovarsi in un'altra posizione, ad esempio nello stesso VPC del carico di lavoro, purché possa raggiungere le API. CloudWatch

Strumenti

Servizi AWS

• Amazon CloudWatch Logs ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro.

• Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.

• AWS Network Firewall è un firewall di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni per VPC nel cloud AWS.

Altri strumenti

• Splunk ti aiuta a monitorare, visualizzare e analizzare i dati di registro.

Epiche

Creazione di un ruolo IAM

Attività	Descrizione	Competenze richieste
Creare la policy IAM.	Segui le istruzioni in Creazione di policy using the JSON editor per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON. { "Statement": [ { "Action": [ "cloudwatch:List*", "cloudwatch:Get*", "network-firewall:List*", "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }	Amministratore AWS
Crea un nuovo ruolo IAM.	Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.	Amministratore AWS
Assegna il ruolo IAM alle istanze EC2 nel cluster Splunk.	Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/. Nel riquadro di navigazione, seleziona Istanze. Seleziona le istanze EC2 nel cluster Splunk. Scegli Azioni, Sicurezza e poi Modifica il ruolo IAM. Seleziona il ruolo IAM creato in precedenza, quindi scegli Salva.	Amministratore AWS

Installa il componente aggiuntivo Splunk per AWS

Attività	Descrizione	Competenze richieste
Installa il componente aggiuntivo.	Nella dashboard di Splunk, accedi a Splunk Apps. Cerca il componente aggiuntivo Splunk per Amazon Web Services. Scegli Installa. Fornisci le tue credenziali Splunk.	Amministratore Splunk
Configura le credenziali AWS.	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegliere Configuration (Configurazione). Nella colonna Autodiscovered IAM Role, seleziona il ruolo IAM che hai creato in precedenza. Per ulteriori informazioni, consulta Trova un ruolo IAM all'interno dell'istanza della piattaforma Splunk nella documentazione Splunk.	Amministratore Splunk

Configura l'accesso Splunk a CloudWatch

Attività	Descrizione	Competenze richieste
Configurare il recupero dei log del Network Firewall dai registri. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli Tipo di dati personalizzato, quindi scegli CloudWatch Registri. Fornisci il nome, l'account AWS, la regione AWS e il gruppo di log per i log del Network Firewall. Selezionare Salva. Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un input di CloudWatch log utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk
Configura il recupero delle metriche del Network Firewall da. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli CloudWatch. Fornisci il nome, l'account AWS e la regione AWS per i parametri del Network Firewall. Accanto a Metric Configuration, scegli Modifica in modalità avanzata. (Facoltativo) Eliminate tutti i namespace preconfigurati.  Scegli Aggiungi namespace, quindi denominalo AWS/. NetworkFirewall In Dimension Value, aggiungi quanto segue. [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}] Per Metriche, scegli Tutto. Per Statistiche metriche, scegliete Somma. Scegli OK. Selezionare Salva. Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un CloudWatch input utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk

Crea visualizzazioni Splunk utilizzando le query

Attività	Descrizione	Competenze richieste
Visualizza i principali indirizzi IP di origine.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. sourcetype="aws:cloudwatchlogs" | top event.src_ip Questa query visualizza una tabella degli indirizzi IP di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk
Visualizza le statistiche sui pacchetti.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name Questa query visualizza una tabella delle metriche DroppedPackets e ReceivedPackets al minuto. PassedPackets Per una rappresentazione grafica, scegliete Visualizzazione.	Amministratore Splunk
Visualizza le porte di origine più utilizzate.	Nella dashboard Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. sourcetype="aws:cloudwatchlogs" | top event.dest_port Questa query visualizza una tabella delle porte di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk

Risorse correlate

Documentazione AWS

• Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS (documentazione IAM)

• Creazione di politiche IAM (documentazione IAM)

• Registrazione e monitoraggio in AWS Network Firewall (documentazione Network Firewall)

• Configurazioni della tabella di routing per AWS Network Firewall (documentazione Network Firewall)

Post sul blog di AWS

• Modelli di implementazione di AWS Network Firewall

AWS Marketplace

• Splunk Enterprise Amazon Machine Image (AMI)