Logs de fluxo de VPC da Amazon

A integração do IBM QRadar para o Amazon VPC (Virtual Private Cloud) Flow Logs coleta logs de fluxo do VPC de um depósito do Amazon S3 usando uma fila SQS.

Importante: Esta integração suporta o formato padrão para VPC de Fluxo de VPC da Amazon e quaisquer formatos personalizados que contenham campos de versão 3, 4 ou 5. Entretanto, todos os campos de versão 2 devem ser incluídos em seu formato customizado. O formato padrão inclui os campos a seguir.
${version} ${account-id} ${interface-id} ${srcaddr} ${dstadir} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

Para obter informações adicionais, consulte a documentação do Amazon VPC Flow Logs.

Para integrar o Amazon VPC Flow Logs com o QRadar, conclua as etapas a seguir:
  1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download no site de suporte da IBM® (http://www.ibm.com/support). Faça download e instale os RPMs a seguir no QRadar Console.
    • Protocol Common RPM
    • RPM DO PROTOCOLO DA API DE REST DO AWS S3
    Importante: se você estiver instalando o RPM para ativar mais campos de fluxo de VPC relacionados ao AWSna janela Detalhes do fluxo de atividade de rede do QRadar , os serviços a seguir deverão ser reiniciados antes de ficarem visíveis. Você não precisa reiniciar os serviços para o protocolo funcionar.
    Hostcontext
    Para reiniciar contexto do host, consulte QRadar: serviço Hostcontext e o impacto de uma reinicialização de serviço (https://www.ibm.com/support/pages/qradar-hostcontext-service-and-impact-service-restart).
    Tomcat
    No Console, clique na guia Admin e, em seguida, clique em Avançado > reiniciar o Web Server.
  2. Configure os Logs de fluxo do Amazon VPC para publicar os logs de fluxo em um depósito S3.
  3. Crie a fila do SQS que é usada para receber notificações ObjectCreated por meio do depósito S3 que você usou na etapa 2.
  4. Crie credenciais de segurança para sua conta do usuário do AWS.
  5. Inclua uma origem de logs de fluxo do Amazon VPC no QRadar Console.
    Importante: um Flow Processor deve estar disponível e ter uma licença do FPM para receber os logs de fluxo.. O VPC Flow Log não usa uma licença EPS. Ao contrário de outras origens de log, os eventos do AWS VPC Flow não são enviados para a guia Atividade de log. Eles são enviados para a guia Atividade de rede.
    Importante: quando a origem de log do VPC Flow Logs é configurada usando o DSM Universal, ela não gera nenhum evento. Nesse caso, o status de tempo do Último evento permanece em branco

    A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos de Logs de fluxo do Amazon VPC:

    Tabela 1. Parâmetros de origem de log de Logs de fluxo do Amazon VPC
    Parâmetro Valor
    Tipo de origem de log Um tipo de origem de log customizado.
    Configuração de protocolo API REST do Amazon AWS S3
    Coletor de eventos de destino O Event Collector ou Event Processor que recebe e analisa os eventos dessa origem de log
    Dica: Esta integração coleta logs de eventos brutos do Amazon VPC Flow Logs da meta AWS S3 bucket. Em seguida, ele gera registros de fluxo IPFIX e encaminha os registros para o VPC Flow Destination Hostname. É possível usar um Flow Collector ou um Flow Processor como o coletor de eventos de destino somente quando ele for um Flow Collector e Flow Processor combinados ou um console tudo em um
    Identificador de Fonte de Log

    Digite um nome exclusivo para a origem de log.

    O Identificador de origem de log pode ser qualquer valor válido e não precisa fazer referência a um servidor específico. O Identificador de Origem de Log pode ter o mesmo valor que o Nome da Origem de Log. Caso tenha configurado mais de uma origem de log de Logs de fluxo do Amazon VPC, talvez você queira nomear de uma maneira identificável. Por exemplo, é possível identificar a primeira origem de log como vpcflowlogs1 e a segunda origem de log como vpcflowlogs2.
    Método de autenticação
    ID da Chave de Acesso / Chave Secreta
    Autenticação padrão que pode ser usada de qualquer lugar.
    Para obter mais informações sobre a configuração de credenciais de segurança, consulte Configurando credenciais de segurança para sua conta de usuário AWS.
    Função do IAM de Instância do EC2
    Caso seu host gerenciado esteja em execução em uma instância do AWS EC2, ao escolher essa opção, a função do IAM designada à instância nos metadados de instância é usada para autenticação. Nenhuma chave é necessária. Esse método funciona somente para hosts gerenciados em execução em um contêiner do AWS EC2.
    Assumir a função do IAM Ative esta opção para se autenticar com uma chave de acesso ou função do IAM de instância do EC2. Em seguida, será possível assumir temporariamente uma Função do IAM para acesso. Esta opção está disponível somente quando você usa o método de coleta de Notificações de eventos do SQS.

    Para obter mais informações sobre a criação de usuários do IAM e a atribuição de funções, consulte Criando um usuário de Identidade e Gerenciamento de Acesso (IAM) no AWS Management Console.
    Formato de Evento Logs de fluxo do AWS VPC
    Método de coleção S3 Notificações de eventos SQS
    Nome do host de destino do fluxo do VPC O nome do host ou endereço IP do Flow Processor no qual você deseja enviar os logs do VPC.
    Dica: Para que o QRadar aceite o tráfego de fluxo IPFIX, você deve configurar uma fonte de fluxo NetFlow/IPFIX que use UDP. A maioria das implementações pode usar uma fonte de fluxo default_Netflow e configurar o Nome do host de destino do fluxo do VPC como o nome do host desse host gerenciado.

    Se o host gerenciado que está configurado com a origem de fluxo NetFlow/IPFIX for o mesmo que o Coletor de eventos de destino que foi escolhido anteriormente na configuração, será possível configurar o Nome do host de destino do fluxo do VPC como localhost.

    Para obter informações adicionais sobre a criação de origens de fluxo, consulte o IBM QRadar Administration Guide.
    Porta de destino do fluxo do VPC A porta para o Flow Processor para o qual você deseja enviar os logs do VPC
    Importante: Essa porta deve ser igual à porta de monitoramento especificada na fonte de fluxo do NetFlow . A porta para a fonte de fluxo default_Netflow é 2055.
    URL da fila do SQS A URL completa, que começa com https://, para a fila do SQS configurada para receber notificações de eventos ObjectCreated do S3.
    Nome da região A região que está associada à fila SQS e ao depósito S3.

    Exemplo: us-east-1, eu-west-1, ap-northeast-3
    Exibir opções avançadas O padrão é Não. Selecione Sim se você deseja customizar os dados do evento.
    Padrão do arquivo

    Esta opção está disponível ao configurar Mostrar opções avançadas como Sim.

    Digite um regex para o padrão do arquivo que corresponde aos arquivos que você deseja extrair; por exemplo, .*?\.json\.gz
    Diretório Local

    Esta opção está disponível ao configurar Mostrar opções avançadas como Sim.

    O diretório local no coletor de eventos de destino. O diretório deve existir antes de o PROTOCOLO DA API DE REST do AWS S3 tentar recuperar eventos.
    URL de terminal S3

    Esta opção está disponível ao configurar Mostrar opções avançadas como Sim.

    A URL de terminal que é usada para consultar a API de REST do AWS.

    Se a URL de seu terminal for diferente do padrão, digite-a. O padrão é http://s3.amazonaws.com.
    Utilizar Proxy

    Se o QRadar acessar o Amazon Web Service usando um proxy, ative Usar Proxy.

    Se o proxy requer autenticação, configure os campos Servidor proxy, Porta de proxy, Nome do usuário de proxy e Senha de proxy.

    Se o proxy não requerer autenticação, configure os campos Servidor proxy e Porta de proxy.
    Recorrência Com que frequência o Protocolo da API de REST do Amazon AWS S3 se conecta à API de nuvem do Amazon, verifica se há novos arquivos e, se eles existirem, recupera-os. Cada acesso a um depósito AWS S3 incorre em um custo para a conta que possui o depósito. Portanto, um valor de recorrência menor aumenta o custo.

    Digite um intervalo de tempo para determinar com que frequência o diretório remoto é varrido em busca de novos arquivos de log de evento. O valor mínimo é de 1 minuto. O intervalo de tempo pode incluir valores em horas (H), minutos (M) ou dias (D). Por exemplo, 2H = 2 horas, 15 M = 15 minutos.
    Regulador de EPS

    O número máximo de eventos por segundo que o QRadar alimenta.

    Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS.
  6. Para enviar logs de fluxo de VPC para o app IBM QRadar Cloud Visibility para visualização, conclua as etapas a seguir:.
    1. No Console, clique na guia Administrador e, em seguida, clique em Configuração do Sistema > Configurações do Sistema
    2. Clique no menu Configurações do QFlow e, no campo Codificação de campo adicional do IPFix, escolha o formato TLV ou TLV e carga útil.
    3. Clique em Save.
    4. Na barra de menus na guia Administrador, clique em Implementar configuração integral e confirme suas mudanças.
      Aviso: ao implementar a configuração integral, os serviços do QRadar são reiniciados. Durante esse tempo, eventos e fluxos não são coletados e não são geradas ofensas.
    5. Atualize o navegador.

Para obter informações adicionais sobre a configuração do protocolo da API de REST do Amazon AWS S3, consulte Opções de configuração do protocolo da API de REST do Amazon AWS S3.