本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Zeek 的來源組態
與 Zeek 整合
若要將 Zeek 與 CloudWatch Logs 整合,您必須同時設定來源和管道。首先,設定 Amazon S3 和 Amazon SQS 來接收資料,以設定 Zeek 來源。然後,設定 CloudWatch 管道,將來源中的資料擷取至 CloudWatch Logs。
設定 Amazon S3 和 Amazon SQS 的說明
使用 Fluent Bit 設定 Zeek 將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟,主要專注於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色,然後設定 CloudWatch Pipeline。
使用 Fluent Bit 設定 Zeek 日誌
-
在 Zeek 主機上安裝 Fluent Bit (讀取日誌檔案並將其轉送至 Amazon S3 等目的地的輕量型日誌收集器),並將其設定為結尾 Zeek 日誌檔案 (例如
/opt/zeek/logs/current/*.log)。 -
設定 AWS 登入資料 (IAM 角色或
aws configure),讓 Fluent Bit 具有將物件上傳至 Amazon S3 儲存貯體的許可。 -
更新 Fluent Bit 組態以使用 S3 輸出外掛程式,為 Zeek 日誌指定儲存貯體名稱、區域和 S3 金鑰路徑。
-
啟動並啟用 Fluent Bit 服務以持續收集 Zeek 日誌,並將其上傳至 Amazon S3 以進行下游擷取。
Amazon S3 和 Amazon SQS 組態
-
存放 Zeek 日誌的 Amazon S3 儲存貯體應位於相同的 AWS 區域。
-
設定 Amazon S3 儲存貯體以建立事件通知,特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。
-
在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時,此佇列會收到通知。
設定 CloudWatch 管道
設定管道從 Zeek 讀取資料時,請選擇 Zeek 作為資料來源。填入必要資訊並建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
支援的開放式網路安全結構描述架構事件類別
此整合支援 OCSF 結構描述版本 v1.5.0 和對應至多個 OCSF 類別的事件。下表列出支援的事件映射。
| 事件名稱 | OCSF 類別 |
|---|---|
| 連接 | 網路活動 (4001) |
| dns | DNS 活動 (4003) |
| http | HTTP 活動 (4002) |
| ssl | 網路活動 (4001) |
| SSH | SSH 活動 (4007) |
| 角化 | 身分驗證 (3002) |
| rdp | RDP 活動 (4005) |
| files | 網路活動 (4001) |
| 通知 | 偵測調查結果 (2004) |
| known_hosts | 基本事件 (0) |
| x509 | 網路活動 (4001) |
| ftp | FTP 活動 (4008) |
| smtp | 電子郵件活動 (4009) |
| dhcp | DHCP 活動 (4004) |
| ntlm | 身分驗證 (3002) |
| smb_files | SMB 活動 (4006) |
| smb | SMB 活動 (4006) |
| dce_rpc | SMB 活動 (4006) |
| ldap | 身分驗證 (3002) |
| ldap_search | 網路活動 (4001) |
| quic | 網路活動 (4001) |
| 通道 | 通道活動 (4014) |
| pe | 基本事件 (0) |
| 奇怪 | 基本事件 (0) |
| known_services | 基本事件 (0) |
| software | 軟體庫存資訊 (5020) |
| reporter | 基本事件 (0) |
不符合任何 OCSF 映射轉換的事件會自動傳遞,並直接傳送到設定的接收器,無需額外處理。
