Configuração de fonte para o Zeek
Integração com Zeek
Para integrar o Zeek com o CloudWatch Logs, é necessário configurar a fonte e o pipeline. Primeiro, defina a fonte do Zeek configurando o Amazon S3 e o Amazon SQS para receber dados. Depois, configure o pipeline do CloudWatch para ingerir os dados da fonte no CloudWatch Logs.
Instruções para configurar o Amazon S3 e o Amazon SQS
A configuração do Zeek com Fluent Bit para enviar logs para um bucket do Amazon S3 envolve várias etapas, concentradas principalmente na configuração de buckets do Amazon S3, na fila do Amazon SQS, nos perfis do IAM e então na configuração do pipeline do CloudWatch.
Configuração dos logs do Zeek usando o Fluent Bit
-
Instale o Fluent Bit (um coletor de logs leve que lê arquivos de log e os encaminha para destinos como o Amazon S3) no host do Zeek e configure-o para monitorar os arquivos de log do Zeek (por exemplo,
/opt/zeek/logs/current/*.log). -
Configure as credenciais da AWS (perfil do IAM ou
aws configure) para que o Fluent Bit tenha permissão para carregar objetos no bucket do Amazon S3. -
Atualize a configuração do Fluent Bit para usar o plug-in de saída do S3, especificando o nome do bucket, a região e o caminho da chave do S3 para os logs do Zeek.
-
Inicie e habilite o serviço Fluent Bit para coletar continuamente os logs do Zeek e enviá-los para o Amazon S3 para ingestão posterior.
Configuração do Amazon S3 e do Amazon SQS
-
O bucket do Amazon S3 que armazena os logs do Zeek deve residir na mesma região da AWS.
-
Configure o bucket do Amazon S3 no qual criar notificações de eventos, especificamente para eventos de “Criação de objeto”. Essas notificações devem ser enviadas para uma fila do Amazon SQS.
-
Crie uma fila do Amazon SQS na mesma região da AWS do bucket do Amazon S3. Essa fila receberá notificações quando novos arquivos de log forem adicionados ao bucket do Amazon S3.
Configurar o CloudWatch Pipeline
Ao configurar o pipeline para ler dados do Zeek, escolha o Zeek como a fonte de dados. Depois de preenchidas as informações necessárias e criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.
Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF de versão v1.5.0 e eventos que são mapeados para diversas classes do OCSF. A tabela a seguir lista os mapeamentos de eventos compatíveis.
| Nome do evento | Classe do OCSF |
|---|---|
| conn | Network Activity (4001) |
| DNS | DNS Activity (4003) |
| http | HTTP Activity (4002) |
| ssl | Network Activity (4001) |
| ssh | SSH Activity (4007) |
| kerberos | Authentication (3002) |
| rdp | RDP Activity (4005) |
| files | Network Activity (4001) |
| notice | Detection Finding (2004) |
| known_hosts | Base Event (0) |
| x509 | Network Activity (4001) |
| ftp | FTP Activity (4008) |
| smtp | Email Activity (4009) |
| dhcp | DHCP Activity (4004) |
| ntlm | Authentication (3002) |
| smb_files | SMB Activity (4006) |
| SMB | SMB Activity (4006) |
| dce_rpc | SMB Activity (4006) |
| ldap | Authentication (3002) |
| ldap_search | Network Activity (4001) |
| quic | Network Activity (4001) |
| túnel | Tunnel Activity (4014) |
| pe | Base Event (0) |
| weird | Base Event (0) |
| known_services | Base Event (0) |
| software | Software Inventory Info (5020) |
| reporter | Base Event (0) |
Eventos que não correspondem a nenhuma transformação de mapeamento do OCSF são automaticamente transmitidos e enviados diretamente para o coletor configurado sem processamento adicional.
