Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate

Visualizza i log e le metriche del AWS Network Firewall utilizzando Splunk

Creato da Ivo Pinto

Ambiente: PoC o pilota	Tecnologie: rete CloudNative; distribuzione dei contenuti; operazioni; sicurezza, identità, conformità	Carico di lavoro: tutti gli altri carichi di lavoro
AWSservizi: Amazon CloudWatch; Amazon CloudWatch Logs; AWS Network Firewall

Riepilogo

Molte organizzazioni utilizzano Splunk Enterprise come strumento centralizzato di aggregazione e visualizzazione per log e metriche provenienti da diverse fonti. Questo modello ti aiuta a configurare Splunk per recuperare i log e le metriche del AWS Network Firewall da CloudWatch Amazon Logs utilizzando il componente aggiuntivo Splunk per. AWS

A tale scopo, si crea un ruolo AWS Identity and Access Management (IAM) di sola lettura. Splunk Add-On for AWS utilizza questo ruolo per accedere. CloudWatch Si configura il componente aggiuntivo Splunk da cui AWS recuperare metriche e log. CloudWatch Infine, crei visualizzazioni in Splunk a partire dai dati di log e dalle metriche recuperati.

Prerequisiti e limitazioni

Prerequisiti

Un account Splunk
Un'istanza Splunk Enterprise, versione 8.2.2 o successiva
Un account attivo AWS
Network Firewall, configurato e configurato per inviare log a CloudWatch Logs

Limitazioni

Splunk Enterprise deve essere distribuito come cluster di istanze Amazon Elastic Compute Cloud (AmazonEC2) nel cloud. AWS
La raccolta di dati utilizzando un IAM ruolo scoperto automaticamente per Amazon non EC2 è supportata nelle regioni AWS cinesi.

Architettura

Il diagramma illustra quanto segue:

Network Firewall pubblica i log in Logs. CloudWatch
Splunk Enterprise recupera metriche e log da. CloudWatch

Per compilare metriche e log di esempio in questa architettura, un carico di lavoro genera traffico che attraversa l'endpoint Network Firewall per andare a Internet. Questo risultato è ottenuto mediante l'uso di tabelle di routing. Sebbene questo modello utilizzi una singola EC2 istanza Amazon come carico di lavoro, può essere applicato a qualsiasi architettura purché Network Firewall sia configurato per inviare log a Logs. CloudWatch

Questa architettura utilizza anche un'istanza Splunk Enterprise in un altro cloud privato virtuale (). VPC Tuttavia, l'istanza Splunk può trovarsi in un'altra posizione, ad esempio nella stessa VPC in cui si trova il carico di lavoro, purché possa raggiungere il. CloudWatch APIs

Strumenti

AWSservizi

Amazon CloudWatch Logs ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e AWS servizi in modo da poterli monitorare e archiviare in modo sicuro.
Amazon Elastic Compute Cloud (AmazonEC2) fornisce capacità di elaborazione scalabile nel AWS cloud. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
AWSNetwork Firewall è un firewall di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni per il cloudVPCs. AWS

Altri strumenti

Splunk ti aiuta a monitorare, visualizzare e analizzare i dati di registro.

Epiche

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Crea la IAM politica.	Segui le istruzioni in Creazione delle politiche utilizzando l'JSONeditor per creare la IAM politica che concede l'accesso in sola lettura ai dati e alle metriche dei CloudWatch log. CloudWatch Incolla la seguente politica nell'editor. JSON `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	AWSamministratore
Crea un nuovo IAM ruolo.	Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio per creare il IAM ruolo a cui può accedere il componente aggiuntivo Splunk forAWS. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.	AWSamministratore
Assegna il IAM ruolo alle EC2 istanze nel cluster Splunk.	Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/. Nel pannello di navigazione, seleziona Instances (Istanze). Seleziona le EC2 istanze nel cluster Splunk. Scegli Azioni, Sicurezza, quindi Modifica IAM ruolo. Seleziona il IAM ruolo che hai creato in precedenza, quindi scegli Salva.	AWSamministratore

Crea la IAM politica.

Segui le istruzioni in Creazione delle politiche utilizzando l'JSONeditor per creare la IAM politica che concede l'accesso in sola lettura ai dati e alle metriche dei CloudWatch log. CloudWatch Incolla la seguente politica nell'editor. JSON


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

AWSamministratore

Crea un nuovo IAM ruolo.

Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio per creare il IAM ruolo a cui può accedere il componente aggiuntivo Splunk forAWS. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.

AWSamministratore

Assegna il IAM ruolo alle EC2 istanze nel cluster Splunk.

Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.
Nel pannello di navigazione, seleziona Instances (Istanze).
Seleziona le EC2 istanze nel cluster Splunk.
Scegli Azioni, Sicurezza, quindi Modifica IAM ruolo.
Seleziona il IAM ruolo che hai creato in precedenza, quindi scegli Salva.

AWSamministratore

Attività	Descrizione	Competenze richieste
Installa il componente aggiuntivo.	Nella dashboard di Splunk, accedi a Splunk Apps. Cerca il componente aggiuntivo Splunk per Amazon Web Services. Scegli Installa. Fornisci le tue credenziali Splunk.	Amministratore Splunk
Configura le AWS credenziali.	Nella dashboard di Splunk, accedi al componente aggiuntivo Splunk per. AWS Scegliere Configuration (Configurazione). Nella colonna IAMRuolo scoperto automaticamente, seleziona il IAM ruolo che hai creato in precedenza. Per ulteriori informazioni, consulta Trova un IAM ruolo all'interno dell'istanza della piattaforma Splunk nella documentazione di Splunk.	Amministratore Splunk

Attività	Descrizione	Competenze richieste
Configurare il recupero dei log del Network Firewall dai registri. CloudWatch	Nella dashboard di Splunk, accedi a Splunk Add-on for. AWS Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli Tipo di dati personalizzato, quindi scegli CloudWatch Registri. Fornisci il nome, l'AWSaccount, la AWSregione e il gruppo di log per i log del Network Firewall. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un input di CloudWatch log utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk
Configura il recupero delle metriche del Network Firewall da. CloudWatch	Nella dashboard di Splunk, accedi a Splunk Add-on for. AWS Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli CloudWatch. Fornisci il nome, l'AWSaccount e la AWSregione per le metriche del Network Firewall. Accanto a Metric Configuration, scegli Modifica in modalità avanzata. (Facoltativo) Eliminate tutti i namespace preconfigurati. Scegli Aggiungi namespace, quindi assegnagli un nome/. AWS NetworkFirewall In Valore della dimensione, aggiungi quanto segue. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` Per Metriche, scegli Tutto. Per Statistiche metriche, scegliete Somma.* Scegli OK. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un CloudWatch input utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk

Attività	Descrizione	Competenze richieste
Visualizza i principali indirizzi IP di origine.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` Questa query visualizza una tabella degli indirizzi IP di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk
Visualizza le statistiche sui pacchetti.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` Questa query visualizza una tabella delle metriche `DroppedPackets` e `ReceivedPackets` al minuto. `PassedPackets` Per una rappresentazione grafica, scegliete Visualizzazione.	Amministratore Splunk
Visualizza le porte di origine più utilizzate.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` Questa query visualizza una tabella delle porte di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk

Risorse correlate

AWSdocumentazione

Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio (documentazione) IAM
Creazione IAM di politiche (documentazione) IAM
Registrazione e monitoraggio in AWS Network Firewall (documentazione Network Firewall)
Configurazioni della tabella di routing per AWS Network Firewall (documentazione Network Firewall)

Post del blog AWS

AWSModelli di implementazione del Network Firewall

AWS Marketplace

Immagine della macchina Amazon Splunk Enterprise () AMI

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Altri modelli