Konfiguration der Protokollierung für eine AWS Network Firewall Richtlinie - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der Protokollierung für eine AWS Network Firewall Richtlinie

In diesem Abschnitt wird erklärt, wie Sie die zentrale Protokollierung für Ihre Netzwerk-Firewall-Richtlinien aktivieren können, um detaillierte Informationen über den Datenverkehr innerhalb Ihres Unternehmens zu erhalten. Sie können die Datenflussprotokollierung auswählen, um den Netzwerkdatenfluss zu erfassen, oder die Warnungsprotokollierung, um Datenverkehr zu melden, der einer Regel entspricht, bei der die Regelaktion auf DROP oder gesetzt istALERT. Weitere Informationen zur AWS Network Firewall Protokollierung finden Sie AWS Network Firewall im AWS Network Firewall Entwicklerhandbuch unter Protokollieren des Netzwerkverkehrs von.

Sie senden Protokolle von den Netzwerk-Firewall-Firewalls Ihrer Richtlinie an einen Amazon S3 S3-Bucket. Nachdem Sie die Protokollierung aktiviert haben, AWS Network Firewall werden Protokolle für jede konfigurierte Network Firewall bereitgestellt, indem die Firewall-Einstellungen aktualisiert werden, sodass Protokolle an Ihre ausgewählten Amazon S3 S3-Buckets mit dem reservierten AWS Firewall Manager Präfix, <policy-name>-<policy-id> gesendet werden.

Anmerkung

Dieses Präfix wird von Firewall Manager verwendet, um festzustellen, ob eine Protokollierungskonfiguration von Firewall Manager oder vom Kontoinhaber hinzugefügt wurde. Wenn der Kontoinhaber versucht, das reservierte Präfix für seine eigene benutzerdefinierte Protokollierung zu verwenden, wird es durch die Protokollierungskonfiguration in der Firewall Manager Manager-Richtlinie überschrieben.

Weitere Informationen zum Erstellen eines Amazon S3-Buckets und zum Überprüfen der gespeicherten Protokolle finden Sie unter Was ist Amazon S3? im Amazon Simple Storage Service-Benutzerhandbuch.

Um die Protokollierung zu aktivieren, müssen Sie die folgenden Anforderungen erfüllen:

  • Das Amazon S3, das Sie in Ihrer Firewall Manager Manager-Richtlinie angeben, muss vorhanden sein.

  • Sie benötigen die folgenden Berechtigungen:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Wenn der Amazon S3 S3-Bucket, der Ihr Logging-Ziel ist, serverseitige Verschlüsselung mit Schlüsseln verwendet AWS Key Management Service, die in gespeichert sind, müssen Sie Ihrem AWS KMS vom Kunden verwalteten Schlüssel die folgende Richtlinie hinzufügen, damit Firewall Manager sich in Ihrer CloudWatch Logs-Protokollgruppe anmelden kann:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Beachten Sie, dass nur Buckets im Firewall Manager Manager-Administratorkonto für die AWS Network Firewall zentrale Protokollierung verwendet werden dürfen.

Wenn Sie die zentrale Protokollierung für eine Netzwerk-Firewall-Richtlinie aktivieren, führt Firewall Manager die folgenden Aktionen für Ihr Konto durch:

  • Firewall Manager aktualisiert die Berechtigungen für ausgewählte S3-Buckets, um die Protokollzustellung zu ermöglichen.

  • Firewall Manager erstellt Verzeichnisse im S3-Bucket für jedes Mitgliedskonto im Geltungsbereich der Richtlinie. Die Protokolle für jedes Konto finden Sie unter<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

So aktivieren Sie die Protokollierung für eine Netzwerk-Firewall-Richtlinie

  1. Erstellen Sie mit Ihrem Firewall Manager Manager-Administratorkonto einen Amazon S3 S3-Bucket. Weitere Informationen finden Sie unter Bucket erstellen im Amazon Simple Storage Service-Benutzerhandbuch.

  2. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    Anmerkung

    Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

  3. Wählen Sie im Navigationsbereich die Option Sicherheitsrichtlinien aus.

  4. Wählen Sie die Netzwerk-Firewall-Richtlinie aus, für die Sie die Protokollierung aktivieren möchten. Weitere Informationen zur AWS Network Firewall Protokollierung finden Sie AWS Network Firewall im AWS Network Firewall Entwicklerhandbuch unter Protokollieren von Netzwerkverkehr von.

  5. Wählen Sie auf der Registerkarte Richtliniendetails im Abschnitt Richtlinienregeln die Option Bearbeiten aus.

  6. Um Protokolle zu aktivieren und zu aggregieren, wählen Sie unter Protokollierungskonfiguration eine oder mehrere Optionen aus:

    • Aktivieren und aggregieren Sie Flow-Logs

    • Alert-Logs aktivieren und aggregieren

  7. Wählen Sie den Amazon S3 S3-Bucket aus, in den Ihre Logs geliefert werden sollen. Sie müssen für jeden Protokolltyp, den Sie aktivieren, einen Bucket auswählen. Sie können denselben Bucket für beide Protokolltypen verwenden.

  8. (Optional) Wenn Sie möchten, dass die benutzerdefinierte, von Mitgliedskonten erstellte Protokollierung durch die Protokollierungskonfiguration der Richtlinie ersetzt wird, wählen Sie „Bestehende Protokollierungskonfiguration überschreiben“.

  9. Wählen Sie Weiter.

  10. Überprüfen Sie Ihre Einstellungen und wählen Sie dann Speichern, um Ihre Änderungen an der Richtlinie zu speichern.

So deaktivieren Sie die Protokollierung für eine Netzwerk-Firewall-Richtlinie

  1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    Anmerkung

    Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

  2. Wählen Sie im Navigationsbereich die Option Sicherheitsrichtlinien aus.

  3. Wählen Sie die Netzwerk-Firewall-Richtlinie aus, für die Sie die Protokollierung deaktivieren möchten.

  4. Wählen Sie auf der Registerkarte Richtliniendetails im Abschnitt Richtlinienregeln die Option Bearbeiten aus.

  5. Deaktivieren Sie unter Status der Protokollierungskonfiguration die Optionen Flow-Logs aktivieren und aggregieren und Alert-Logs aktivieren und aggregieren, falls sie ausgewählt sind.

  6. Wählen Sie Weiter.

  7. Überprüfen Sie Ihre Einstellungen und wählen Sie dann Speichern, um Ihre Änderungen an der Richtlinie zu speichern.