Configuración del registro para una política de AWS Network Firewall
Esta sección explica cómo puede habilitar el registro centralizado para sus políticas de Network Firewall para obtener información detallada sobre el tráfico dentro de su organización. Puede seleccionar el registro de flujo para capturar el flujo de tráfico de la red o el registro de alertas para informar del tráfico que coincide con una regla con la acción de la regla establecida en DROP o en ALERT. Para obtener más información sobre el registro de AWS Network Firewall, consulte Registro del tráfico de red desde AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
Envíe los registros desde los firewalls de Network Firewall de su política a un bucket de Amazon S3. Después de habilitar el registro, AWS Network Firewall entrega los registros de cada Network Firewall configurado actualizando la configuración del firewall para entregar los registros a los buckets de Amazon S3 seleccionados con el prefijo reservado AWS Firewall Manager, <policy-name>-<policy-id>.
nota
Firewall Manager utiliza este prefijo para determinar si Firewall Manager agregó una configuración de registro o si la agregó el propietario de la cuenta. Si el propietario de la cuenta intenta usar el prefijo reservado para su propio registro personalizado, la configuración de registro de la política del Firewall Manager lo sobrescribe.
Para obtener más información sobre cómo crear un bucket de Amazon S3 y revisar los registros almacenados, consulte ¿Qué es Amazon S3? en la Guía del usuario de Amazon Simple Storage Service.
Para habilitar el registro, debe cumplir con los siguientes requisitos:
-
El Amazon S3 que especifique en su política de Firewall Manager debe existir.
-
Debe tener los siguientes permisos:
logs:CreateLogDeliverys3:GetBucketPolicys3:PutBucketPolicy
-
Si el bucket de Amazon S3 que es su destino de registro utiliza cifrado del servidor con claves almacenadas en AWS Key Management Service, debe agregar la siguiente política a su clave administrada por el cliente de AWS KMS para permitir que Firewall Manager inicie sesión en su grupo de registros de los Registros de CloudWatch:
{ "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }
Tenga en cuenta que solo los buckets de la cuenta de administrador del Firewall Manager se pueden usar para el registro de AWS Network Firewall centralizado.
Cuando habilita el registro centralizado en una política de Network Firewall, Firewall Manager realiza las siguientes acciones en su cuenta:
Firewall Manager actualiza los permisos en los buckets S3 seleccionados para permitir la entrega de registros.
Firewall Manager crea directorios en el bucket de S3 para cada cuenta de miembro dentro del alcance de la política. Los registros de cada cuenta se encuentran en
<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.
Habilitación del registro de una política de Network Firewall
Cree un bucket de Amazon S3 con la cuenta de administrador de Firewall Manager. Para obtener más información, consulte Creación de un bucket en la Guía del usuario de Amazon Simple Storage Service.
-
Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2
. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager. nota
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.
En el panel de navegación, seleccione Políticas de Seguridad.
Elija la política de Network Firewall para la que desea habilitar el registro. Para obtener más información sobre el registro de AWS Network Firewall, consulte Registro del tráfico de red desde AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.
Para habilitar y agregar registros, seleccione una o más opciones en Configuración de registros:
Habilite y agregue los registros de flujo
Habilite y agregue los registros de alertas
Elija el bucket de Amazon S3 en el que desea que se entreguen sus registros. Debe elegir un bucket para cada tipo de registro que active. Puede usar el mismo bucket para ambos tipos de registros.
(Opcional) Si desea que el registro personalizado creado por la cuenta de un miembro se sustituya por la configuración de registro de la política, seleccione Anular la configuración de registro existente.
Elija Siguiente.
Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.
Deshabilitación del registro de una política de Network Firewall
-
Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2
. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager. nota
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.
En el panel de navegación, seleccione Políticas de Seguridad.
Elija la política de Network Firewall para la que desea deshabilitar el registro.
En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.
En el estado de la configuración del registro, quite la selección Habilitar y agregar registros de flujo y Habilitar y agregar registros de alertas si están seleccionadas.
Elija Siguiente.
Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.
