Configuration de la journalisation pour une AWS Network Firewall politique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la journalisation pour une AWS Network Firewall politique

Cette section explique comment activer la journalisation centralisée pour vos politiques de Network Firewall afin d'obtenir des informations détaillées sur le trafic au sein de votre organisation. Vous pouvez sélectionner la journalisation des flux pour capturer le flux du trafic réseau, ou la journalisation des alertes pour signaler le trafic correspondant à une règle dont l'action de règle est définie sur DROP ouALERT. Pour plus d'informations sur la AWS Network Firewall journalisation, consultez la section Enregistrement du trafic réseau depuis AWS Network Firewall le Guide du AWS Network Firewall développeur.

Vous envoyez des journaux depuis les pare-feux Network Firewall de votre politique vers un compartiment Amazon S3. Une fois que vous avez activé la journalisation, AWS Network Firewall fournit les journaux pour chaque Network Firewall configuré en mettant à jour les paramètres du pare-feu afin de transmettre les journaux aux compartiments Amazon S3 que vous avez sélectionnés avec le AWS Firewall Manager préfixe réservé,. <policy-name>-<policy-id>

Note

Ce préfixe est utilisé par Firewall Manager pour déterminer si une configuration de journalisation a été ajoutée par Firewall Manager ou si elle a été ajoutée par le propriétaire du compte. Si le propriétaire du compte tente d'utiliser le préfixe réservé pour sa propre journalisation personnalisée, il est remplacé par la configuration de journalisation définie dans la politique de Firewall Manager.

Pour plus d'informations sur la façon de créer un compartiment Amazon S3 et de consulter les journaux stockés, consultez Qu'est-ce qu'Amazon S3 ? dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour activer la journalisation, vous devez satisfaire aux exigences suivantes :

  • L'Amazon S3 que vous spécifiez dans votre politique Firewall Manager doit exister.

  • Vous devez détenir les autorisations suivants :

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Si le compartiment Amazon S3 qui est votre destination de journalisation utilise un chiffrement côté serveur avec des clés qui y sont stockées AWS Key Management Service, vous devez ajouter la politique suivante à votre clé AWS KMS gérée par le client afin de permettre à Firewall Manager de se connecter à votre CloudWatch groupe de journaux Logs :

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Notez que seuls les buckets du compte administrateur de Firewall Manager peuvent être utilisés pour la journalisation AWS Network Firewall centralisée.

Lorsque vous activez la connexion centralisée dans le cadre d'une politique de Network Firewall, Firewall Manager effectue les actions suivantes sur votre compte :

  • Firewall Manager met à jour les autorisations sur les compartiments S3 sélectionnés pour permettre la livraison des journaux.

  • Firewall Manager crée des répertoires dans le compartiment S3 pour chaque compte membre dans le cadre de la politique. Les journaux de chaque compte se trouvent à l'adresse<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Pour activer la journalisation dans le cadre d'une politique Network Firewall

  1. Créez un compartiment Amazon S3 à l'aide de votre compte administrateur Firewall Manager. Pour plus d'informations, consultez la section Création d'un compartiment dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  2. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  3. Dans le volet de navigation, sélectionnez Security Policies.

  4. Choisissez la politique Network Firewall pour laquelle vous souhaitez activer la journalisation. Pour plus d'informations sur la AWS Network Firewall journalisation, consultez la section Enregistrement du trafic réseau depuis AWS Network Firewall le Guide du AWS Network Firewall développeur.

  5. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  6. Pour activer et agréger les journaux, choisissez une ou plusieurs options dans Configuration de la journalisation :

    • Activer et agréger les journaux de flux

    • Activer et agréger les journaux d'alertes

  7. Choisissez le compartiment Amazon S3 dans lequel vous souhaitez que vos journaux soient livrés. Vous devez choisir un compartiment pour chaque type de journal que vous activez. Vous pouvez utiliser le même compartiment pour les deux types de journaux.

  8. (Facultatif) Si vous souhaitez que la journalisation personnalisée créée par le compte membre soit remplacée par la configuration de journalisation définie par la politique, choisissez Remplacer la configuration de journalisation existante.

  9. Choisissez Suivant.

  10. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.

Pour désactiver la journalisation dans le cadre d'une politique Network Firewall

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Security Policies.

  3. Choisissez la politique Network Firewall pour laquelle vous souhaitez désactiver la journalisation.

  4. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  5. Sous État de configuration de la journalisation, désélectionnez Activer et agréger les journaux de flux et Activer et agréger les journaux d'alertes s'ils sont sélectionnés.

  6. Choisissez Suivant.

  7. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.