Registros de flujo de Amazon VPC

La integración de IBM QRadar para registros de flujo de VPC (Virtual Private Cloud) de Amazon recopila registros de flujo de VPC de un grupo de Amazon S3 utilizando una cola SQS.

Importante: Esta integración admite el formato predeterminado para los registros de flujo de VPC de Amazon y cualquier formato personalizado que contenga campos de la versión 3, 4 o 5. Sin embargo, todos los campos de la versión 2 deben incluirse en el formato personalizado. El formato predeterminado incluye los campos siguientes.

${version} ${account-id} ${interface-id} ${srcaddr} ${dstadir} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

Para obtener más información, consulte la documentación de registros de flujo de VPC de Amazon.

Para integrar registros de flujo de VPC de Amazon con QRadar, realice los pasos siguientes:

Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga desde el IBM® (http://www.ibm.com/support). Descargue e instale los siguientes RPM en QRadar Console.
- Protocol Common RPM
- AWS S3 API REST PROTOCOL RPM
Importante: Si está instalando el RPM para habilitar más campos de flujo de VPC relacionados con AWSen la ventana Detalles de flujo de actividad de red de QRadar , los servicios siguientes deben reiniciarse antes de que sean visibles. No es necesario reiniciar los servicios para que el protocolo funcione.

Hostcontext

Para reiniciar contexto de host, consulte QRadar: Servicio de contexto de host y el impacto de un reinicio de servicio (https://www.ibm.com/support/pages/qradar-hostcontext-service-and-impact-service-restart).

Tomcat

En la consola, pulse la pestaña Admin y, a continuación, pulse Avanzado > reiniciar servidor web.
Configure los registros de flujo de VPC de Amazon para publicar los registros de flujo en un grupo S3 .
Cree la cola SQS que se utiliza para recibir notificaciones de ObjectCreated del grupo S3 que ha utilizado en el paso 2.
Cree credenciales de seguridad para su cuenta de usuario de AWS .

Añada un origen de registro de registros de flujo de VPC de Amazon en QRadar Console.

Importante: Una Flow Processor debe estar disponible y tener una licencia FPM para recibir los registros de flujo. El registro de flujo de VPC no utiliza una licencia EPS. A diferencia de otros orígenes de registro, los sucesos de registro de flujo de VPC de AWS no se envían a la pestaña Actividad de registro . Se envían a la pestaña Actividad de red .

Importante: Cuando el origen de registro de registros de flujo de VPC se configura utilizando Universal DSM, no genera ningún suceso. En este caso, el estado de la hora del Último suceso permanece en blanco.

La tabla siguiente describe los parámetros que requieren valores específicos para recopilar sucesos de registros de flujo de VPC de Amazon:

Tabla 1. Parámetros de origen de registro de registros de flujo de Amazon VPC
Parámetro	Valor
Tipo de origen de registro	Un tipo de origen de registro personalizado.
Configuración de protocolo	API REST de Amazon AWS S3
Recopilador de sucesos de destino	Event Collector o Event Processor que recibe y analiza los sucesos de este origen de registro. Sugerencia: Esta integración recopila registros de sucesos en bruto de registros de flujo de VPC de Amazon del grupo AWS S3 de destino. A continuación, genera registros de flujo de IPFIX y reenvía los registros al Nombre de host de destino de flujo de VPC. Puede utilizar un Flow Collector o un Flow Processor como recopilador de sucesos de destino sólo cuando es un Flow Collector y un Flow Processor combinados o una consola todo en uno.
Identificador de origen de registro	Escriba un nombre exclusivo para el origen de registro. El identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. El Identificador de origen de registro puede ser el mismo valor que el Nombre de origen de registro. Si ha configurado más de un origen de registro de registros de flujo de Amazon VPC, es posible que desee asignar un nombre de forma identificable. Por ejemplo, puede identificar el primer origen de registro como `vpcflowlogs1` y el segundo origen de registro como `vpcflowlogs2`.
Método de autenticación	ID de clave de acceso/clave secreta Autenticación estándar que se puede utilizar desde cualquier lugar. Para obtener más información sobre la configuración de credenciales de seguridad, consulte Configuración de credenciales de seguridad para la cuenta de usuario de AWS. EC2 Rol de IAM de instancia Si el host gestionado se ejecuta en una instancia de AWS EC2 , la elección de esta opción utiliza el rol de IAM de los metadatos de instancia asignados a la instancia para la autenticación. No se necesitan claves. Este método solo funciona para los hosts gestionados que se ejecutan en un contenedor AWS EC2 .
Asumir rol de IAM	Habilite esta opción autenticándose con una clave de acceso o un rol de IAM de instancia de EC2 . A continuación, puede asumir temporalmente un rol de IAM para el acceso. Esta opción sólo está disponible cuando se utiliza el método de recopilación Event Notifications de SQS. Para obtener más información sobre cómo crear usuarios de IAM y asignar roles, consulte Creación de un usuario de Identity and Access Management (IAM) en la AWS.
Formato de suceso	Registros de flujo de VPC de AWS
S3 Método de recopilación	SQS Event Notifications
Nombre de host de destino de flujo de VPC	El nombre de host o la dirección IP del Flow Processor donde desea enviar los registros de VPC. Consejo: Para que QRadar acepte tráfico de flujo IPFIX, debe configurar una fuente de flujo NetFlow/IPFIX que utilice UDP. La mayoría de los despliegues pueden utilizar un origen de flujo default_Netflow y establecer el Nombre de host de destino de flujo de VPC en el nombre de host de ese host gestionado. Si el host gestionado que está configurado con el origen de flujo NetFlow/IPFIX es el mismo que el Target Event Collector que se eligió anteriormente en la configuración, puede establecer el Nombre de host de destino de flujo VPC en `localhost`. Para obtener más información sobre la creación de orígenes de flujo, consulte IBM QRadar Administration Guide.
Puerto de destino de flujo de VPC	El puerto del Flow Processor donde desea enviar los registros de VPC. Importante: Este puerto debe ser el mismo que el puerto de supervisión especificado en el origen de flujo NetFlow . El puerto para el origen de flujo default_Netflow es 2055.
URL la cola SQS	La URL completa que comienza con `https://`, para la cola SQS que está configurada para recibir notificaciones de eventos ObjectCreated de S3.
Nombre de región	La región que está asociada con la cola SQS y el grupo S3 . Ejemplo: us-east-1, eu-west-1, ap-northeast-3
Mostrar opciones avanzadas	El valor predeterminado es No. Seleccione Sí si desea personalizar los datos de suceso.
File Pattern	Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí. Escriba una expresión regular para el patrón de archivo que coincida con los archivos que desea extraer; por ejemplo, .*?\.json\.gz
Directorio local	Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí. El directorio local en el recopilador de sucesos de destino. El directorio debe existir antes de que la API REST PROTOCOL de AWS S3 intente recuperar sucesos.
URL punto final S3	Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí. La URL del punto de enlace que se utiliza para consultar la API REST AWS. Si la URL de su punto final es diferente de la predeterminada, escriba la URL su punto final. El valor predeterminado es `http://s3.amazonaws.com`.
Utilizar proxy	Si QRadar accede al servicio web de Amazon utilizando un proxy, habilite Utilizar proxy. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .
Recurrencia	La frecuencia con la que el protocolo de API REST AWS S3 de Amazon se conecta a la API de nube de Amazon, comprueba si hay archivos nuevos y, si existen, los recupera. Cada acceso a un grupo AWS S3 supone un coste para la cuenta propietaria del grupo. Por lo tanto, un valor de recurrencia menor aumenta el coste. Escriba un intervalo de tiempo para determinar con qué frecuencia se explora el directorio remoto en busca de nuevos archivos de registro de sucesos. El valor mínimo es 1 minuto. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15 M = 15 minutos.
Regulador de EPS	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.

Para enviar registros de flujo de VPC a la aplicación IBM QRadar Cloud Visibility para su visualización, realice los pasos siguientes:
1. En la consola, pulse la pestaña Admin y, a continuación, pulse Configuración del sistema > Valores del sistema.
2. Pulse el menú Valores de QFlow y, en el campo Codificación de campo adicional de IPFIX, elija el formato TLV o TLV y carga útil.
3. Pulse Guardar.
4. En la barra de menús del separador Admin, pulse Desplegar configuración completa y confirme los cambios.
  
  Aviso: Al desplegar la configuración completa, se reinician los servicios de QRadar . Durante este periodo, no se recopilan los sucesos ni los flujos, ni se generan delitos.
5. Actualice el navegador.

Para obtener más información sobre cómo configurar el protocolo de la API REST de Amazon AWS S3 , consulte Amazon AWS S3 Opciones de configuración del protocolo de la API REST.