Récapitulatif Conditions préalables et limitations Architecture Outils Épopées Ressources connexes

Afficher les journaux et les statistiques de AWS Network Firewall à l'aide de Splunk

Créée par Ivo Pinto

Environnement : PoC ou pilote	Technologies : mise en réseau CloudNative ; diffusion de contenu ; opérations ; sécurité, identité, conformité	Charge de travail : toutes les autres charges de travail
AWSservices : Amazon CloudWatch ; Amazon CloudWatch Logs ; AWS Network Firewall

Récapitulatif

De nombreuses organisations utilisent Splunk Enterprise comme outil centralisé d'agrégation et de visualisation pour les journaux et les métriques provenant de différentes sources. Ce modèle vous permet de configurer Splunk pour récupérer les journaux et les métriques de AWSNetwork Firewall depuis Amazon CloudWatch Logs à l'aide du module complémentaire Splunk pour. AWS

Pour ce faire, vous devez créer un rôle AWS Identity and Access Management (IAM) en lecture seule. Splunk Add-On for AWS utilise ce rôle pour accéder CloudWatch. Vous configurez le module complémentaire Splunk AWS pour récupérer les métriques et les journaux à partir de. CloudWatch Enfin, vous créez des visualisations dans Splunk à partir des données de journal et des métriques récupérées.

Conditions préalables et limitations

Prérequis

Un compte Splunk
Une instance Splunk Enterprise, version 8.2.2 ou ultérieure
Un AWS compte actif
Network Firewall, configuré et configuré pour envoyer des CloudWatch journaux à Logs

Limites

Splunk Enterprise doit être déployé sous la forme d'un cluster d'instances Amazon Elastic Compute Cloud (AmazonEC2) dans le AWS cloud.
La collecte de données à l'aide d'un IAM rôle découvert automatiquement pour Amazon n'EC2est pas prise en charge dans les régions AWS chinoises.

Architecture

Le diagramme illustre les éléments suivants :

Network Firewall publie les journaux dans CloudWatch Logs.
Splunk Enterprise extrait les métriques et les journaux à partir de. CloudWatch

Pour renseigner des exemples de métriques et de journaux dans cette architecture, une charge de travail génère du trafic qui passe par le point de terminaison Network Firewall pour accéder à Internet. Ceci est réalisé grâce à l'utilisation de tables de routage. Bien que ce modèle utilise une seule EC2 instance Amazon comme charge de travail, il peut s'appliquer à n'importe quelle architecture tant que Network Firewall est configuré pour envoyer des CloudWatch journaux à Logs.

Cette architecture utilise également une instance Splunk Enterprise dans un autre cloud privé virtuel (VPC). Cependant, l'instance Splunk peut se trouver à un autre endroit, par exemple au même endroit VPC que la charge de travail, à condition qu'elle puisse atteindre le CloudWatch APIs.

Outils

AWSservices

Amazon CloudWatch Logs vous aide à centraliser les journaux de tous vos systèmes, applications et AWS services afin que vous puissiez les surveiller et les archiver en toute sécurité.
Amazon Elastic Compute Cloud (AmazonEC2) fournit une capacité de calcul évolutive dans le AWS cloud. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.
AWSNetwork Firewall est un pare-feu réseau dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions destiné VPCs au AWS cloud.

Autres outils

Splunk vous aide à surveiller, à visualiser et à analyser les données des journaux.

Épopées

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Créez la IAM politique.	Suivez les instructions de la section Création de politiques à l'aide de l'JSONéditeur pour créer la IAM politique qui accorde un accès en lecture seule aux données et CloudWatch aux CloudWatch métriques des journaux. Collez la politique suivante dans l'JSONéditeur. `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	AWSadministrateur
Créez un nouveau IAM rôle.	Suivez les instructions de la section Création d'un rôle pour déléguer des autorisations à un AWS service afin de créer le IAM rôle auquel le module complémentaire Splunk AWS peut accéder CloudWatch. Pour les politiques d'autorisations, choisissez la politique que vous avez créée précédemment.	AWSadministrateur
Attribuez le IAM rôle aux EC2 instances du cluster Splunk.	Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/. Dans le panneau de navigation, choisissez Instances. Sélectionnez les EC2 instances du cluster Splunk. Choisissez Actions, Sécurité, puis Modifier le IAM rôle. Sélectionnez le IAM rôle que vous avez créé précédemment, puis cliquez sur Enregistrer.	AWSadministrateur

Créez la IAM politique.

Suivez les instructions de la section Création de politiques à l'aide de l'JSONéditeur pour créer la IAM politique qui accorde un accès en lecture seule aux données et CloudWatch aux CloudWatch métriques des journaux. Collez la politique suivante dans l'JSONéditeur.


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

AWSadministrateur

Créez un nouveau IAM rôle.

Suivez les instructions de la section Création d'un rôle pour déléguer des autorisations à un AWS service afin de créer le IAM rôle auquel le module complémentaire Splunk AWS peut accéder CloudWatch. Pour les politiques d'autorisations, choisissez la politique que vous avez créée précédemment.

AWSadministrateur

Attribuez le IAM rôle aux EC2 instances du cluster Splunk.

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation, choisissez Instances.
Sélectionnez les EC2 instances du cluster Splunk.
Choisissez Actions, Sécurité, puis Modifier le IAM rôle.
Sélectionnez le IAM rôle que vous avez créé précédemment, puis cliquez sur Enregistrer.

AWSadministrateur

Tâche	Description	Compétences requises
Installez le module complémentaire.	Dans le tableau de bord Splunk, accédez à Splunk Apps. Recherchez le module complémentaire Splunk pour Amazon Web Services. Choisissez Installer. Fournissez vos informations d'identification Splunk.	Administrateur Splunk
Configurez les AWS informations d'identification.	Dans le tableau de bord Splunk, accédez à Splunk Add-on pour. AWS Choisissez Configuration. Dans la colonne IAMRôle découvert automatiquement, sélectionnez le IAM rôle que vous avez créé précédemment. Pour plus d'informations, consultez Trouver un IAM rôle au sein de votre instance de plateforme Splunk dans la documentation Splunk.	Administrateur Splunk

Tâche	Description	Compétences requises
Configurez la récupération des journaux de Network Firewall à partir de CloudWatch Logs.	Dans le tableau de bord Splunk, accédez à Splunk Add-on pour. AWS Choisissez Input. Choisissez Créer une nouvelle entrée. Dans la liste, choisissez Type de données personnalisé, puis CloudWatch Logs. Indiquez le nom, le AWScompte, AWSla région et le groupe de journaux pour vos journaux Network Firewall. Choisissez Save (Enregistrer). Par défaut, Splunk récupère les données du journal toutes les 10 minutes. Il s'agit d'un paramètre configurable dans les paramètres avancés. Pour plus d'informations, consultez Configurer une entrée de CloudWatch logs à l'aide de Splunk Web dans la documentation Splunk.	Administrateur Splunk
Configurez la récupération des métriques de Network Firewall à partir de CloudWatch.	Dans le tableau de bord Splunk, accédez à Splunk Add-on pour. AWS Choisissez Input. Choisissez Créer une nouvelle entrée. Dans la liste, choisissez CloudWatch. Indiquez le nom, le AWScompte et AWSla région pour les métriques de votre Network Firewall. À côté de Configuration métrique, choisissez Modifier en mode avancé. (Facultatif) Supprimez tous les espaces de noms préconfigurés. Choisissez Ajouter un espace de noms, puis nommez-le AWS/NetworkFirewall. Dans Dimension Value, ajoutez ce qui suit. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` Pour Metrics, sélectionnez All. Pour les statistiques métriques, choisissez Sum. Choisissez OK. Choisissez Save* (Enregistrer). Par défaut, Splunk récupère les données métriques toutes les 5 minutes. Il s'agit d'un paramètre configurable dans les paramètres avancés. Pour plus d'informations, consultez Configurer une CloudWatch entrée à l'aide de Splunk Web dans la documentation Splunk.	Administrateur Splunk

Tâche	Description	Compétences requises
Consultez les principales adresses IP sources.	Dans le tableau de bord Splunk, accédez à Search & Reporting. Dans le champ Entrez la recherche ici, entrez ce qui suit. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` Cette requête affiche un tableau des adresses IP sources ayant le plus de trafic, par ordre décroissant. Pour une représentation graphique, choisissez Visualization.	Administrateur Splunk
Afficher les statistiques des paquets.	Dans le tableau de bord Splunk, accédez à Search & Reporting. Dans le champ Entrez la recherche ici, entrez ce qui suit. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` Cette requête affiche un tableau des mesures `DroppedPacketsPassedPackets`, et `ReceivedPackets` par minute. Pour une représentation graphique, choisissez Visualization.	Administrateur Splunk
Consultez les ports sources les plus utilisés.	Dans le tableau de bord Splunk, accédez à Search & Reporting. Dans le champ Entrez la recherche ici, entrez ce qui suit. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` Cette requête affiche un tableau des ports sources ayant le plus de trafic, par ordre décroissant. Pour une représentation graphique, choisissez Visualization.	Administrateur Splunk

Ressources connexes

AWSdocumentation

Création d'un rôle pour déléguer des autorisations à un AWS service (IAMdocumentation)
Création IAM de politiques (IAMdocumentation)
Journalisation et surveillance dans AWS Network Firewall (documentation Network Firewall)
Configurations des tables de routage pour AWS Network Firewall (documentation Network Firewall)

Articles de blog AWS

AWSModèles de déploiement de Network Firewall

AWS Marketplace

Image machine Amazon de Splunk Enterprise () AMI

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Plus de modèles