Visualizza i log e le metriche di AWS Network Firewall utilizzando Splunk - Prontuario AWS

Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate

Visualizza i log e le metriche di AWS Network Firewall utilizzando Splunk

Creato da Ivo Pinto

Riepilogo

Molte organizzazioni utilizzano Splunk Enterprise come strumento centralizzato di aggregazione e visualizzazione per log e metriche provenienti da diverse fonti. Questo modello ti aiuta a configurare Splunk per recuperare i log e i parametri del firewall di rete AWS da CloudWatch Amazon Logs utilizzando il componente aggiuntivo Splunk per AWS.

A tal fine, crei un ruolo AWS Identity and Access Management (IAM) di sola lettura. Splunk Add-On for AWS utilizza questo ruolo per accedere. CloudWatch Puoi configurare il componente aggiuntivo Splunk per AWS da cui recuperare metriche e log. CloudWatch Infine, crei visualizzazioni in Splunk a partire dai dati e dalle metriche dei log recuperati.

Prerequisiti e limitazioni

Prerequisiti

Un account Splunk
Un'istanza Splunk Enterprise, versione 8.2.2 o successiva
Un account AWS attivo
Network Firewall, configurato e configurato per inviare log a CloudWatch Logs

Limitazioni

Splunk Enterprise deve essere distribuito come cluster di istanze Amazon Elastic Compute Cloud (Amazon EC2) nel cloud AWS.
La raccolta di dati utilizzando un ruolo IAM scoperto automaticamente per Amazon non EC2 è supportata nelle regioni AWS Cina.

Architettura

Il diagramma illustra quanto segue:

Network Firewall pubblica i log in Logs. CloudWatch
Splunk Enterprise recupera metriche e log da. CloudWatch

Per compilare metriche e log di esempio in questa architettura, un carico di lavoro genera traffico che attraversa l'endpoint Network Firewall per andare a Internet. Ciò si ottiene mediante l'uso di tabelle di routing. Sebbene questo modello utilizzi una singola EC2 istanza Amazon come carico di lavoro, può essere applicato a qualsiasi architettura purché Network Firewall sia configurato per inviare log a Logs. CloudWatch

Questa architettura utilizza anche un'istanza Splunk Enterprise in un altro cloud privato virtuale (VPC). Tuttavia, l'istanza Splunk può trovarsi in un'altra posizione, ad esempio nello stesso VPC del carico di lavoro, purché possa raggiungere il. CloudWatch APIs

Strumenti

Servizi AWS

Amazon CloudWatch Logs ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro.
Amazon Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
AWS Network Firewall è un firewall di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni VPCs nel cloud AWS.

Altri strumenti

Splunk ti aiuta a monitorare, visualizzare e analizzare i dati di registro.

Epiche

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Creare la policy IAM.	Segui le istruzioni in Creazione di policy using the JSON editor per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON. `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	Amministratore AWS
Crea un nuovo ruolo IAM.	Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.	Amministratore AWS
Assegna il ruolo IAM alle EC2 istanze nel cluster Splunk.	Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/. Nel pannello di navigazione, seleziona Instances (Istanze). Seleziona le EC2 istanze nel cluster Splunk. Scegli Azioni, Sicurezza, quindi Modifica il ruolo IAM. Seleziona il ruolo IAM creato in precedenza, quindi scegli Salva.	Amministratore AWS

Creare la policy IAM.

Segui le istruzioni in Creazione di policy using the JSON editor per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON.


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

Amministratore AWS

Crea un nuovo ruolo IAM.

Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.

Amministratore AWS

Assegna il ruolo IAM alle EC2 istanze nel cluster Splunk.

Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.
Nel pannello di navigazione, seleziona Instances (Istanze).
Seleziona le EC2 istanze nel cluster Splunk.
Scegli Azioni, Sicurezza, quindi Modifica il ruolo IAM.
Seleziona il ruolo IAM creato in precedenza, quindi scegli Salva.

Amministratore AWS

Creazione di un ruolo IAM

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Creare la policy IAM.	Segui le istruzioni in Creazione di policy using the JSON editor per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON. `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	Amministratore AWS
Crea un nuovo ruolo IAM.	Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le politiche di autorizzazione, scegli la politica che hai creato in precedenza.	Amministratore AWS
Assegna il ruolo IAM alle EC2 istanze nel cluster Splunk.	Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/. Nel pannello di navigazione, seleziona Instances (Istanze). Seleziona le EC2 istanze nel cluster Splunk. Scegli Azioni, Sicurezza, quindi Modifica il ruolo IAM. Seleziona il ruolo IAM creato in precedenza, quindi scegli Salva.	Amministratore AWS

Creare la policy IAM.


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

Amministratore AWS

Crea un nuovo ruolo IAM.

Amministratore AWS

Assegna il ruolo IAM alle EC2 istanze nel cluster Splunk.

Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.
Nel pannello di navigazione, seleziona Instances (Istanze).
Seleziona le EC2 istanze nel cluster Splunk.
Scegli Azioni, Sicurezza, quindi Modifica il ruolo IAM.
Seleziona il ruolo IAM creato in precedenza, quindi scegli Salva.

Amministratore AWS

Attività	Descrizione	Competenze richieste
Installa il componente aggiuntivo.	Nella dashboard di Splunk, accedi a Splunk Apps. Cerca il componente aggiuntivo Splunk per Amazon Web Services. Scegli Installa. Fornisci le tue credenziali Splunk.	Amministratore Splunk
Configura le credenziali AWS.	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegliere Configuration (Configurazione). Nella colonna Autodiscovered IAM Role, seleziona il ruolo IAM che hai creato in precedenza. Per ulteriori informazioni, consulta Trova un ruolo IAM all'interno dell'istanza della piattaforma Splunk nella documentazione Splunk.	Amministratore Splunk

Installa il componente aggiuntivo Splunk per AWS

Attività	Descrizione	Competenze richieste
Installa il componente aggiuntivo.	Nella dashboard di Splunk, accedi a Splunk Apps. Cerca il componente aggiuntivo Splunk per Amazon Web Services. Scegli Installa. Fornisci le tue credenziali Splunk.	Amministratore Splunk
Configura le credenziali AWS.	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegliere Configuration (Configurazione). Nella colonna Autodiscovered IAM Role, seleziona il ruolo IAM che hai creato in precedenza. Per ulteriori informazioni, consulta Trova un ruolo IAM all'interno dell'istanza della piattaforma Splunk nella documentazione Splunk.	Amministratore Splunk

Attività	Descrizione	Competenze richieste
Configurare il recupero dei log del Network Firewall dai registri. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli Tipo di dati personalizzato, quindi scegli CloudWatch Registri. Fornisci il nome, l'account AWS, la regione AWS e il gruppo di log per i log del Network Firewall. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un input di CloudWatch log utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk
Configura il recupero delle metriche del Network Firewall da. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli CloudWatch. Fornisci il nome, l'account AWS e la regione AWS per i parametri del Network Firewall. Accanto a Metric Configuration, scegli Modifica in modalità avanzata. (Facoltativo) Eliminate tutti i namespace preconfigurati. Scegli Aggiungi namespace, quindi denominalo AWS/. NetworkFirewall In Dimension Value, aggiungi quanto segue. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` Per Metriche, scegli Tutto. Per Statistiche metriche, scegli Somma.* Scegli OK. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un CloudWatch input utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk

Configura l'accesso Splunk a CloudWatch

Attività	Descrizione	Competenze richieste
Configurare il recupero dei log del Network Firewall dai registri. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli Tipo di dati personalizzato, quindi scegli CloudWatch Registri. Fornisci il nome, l'account AWS, la regione AWS e il gruppo di log per i log del Network Firewall. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un input di CloudWatch log utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk
Configura il recupero delle metriche del Network Firewall da. CloudWatch	Nella dashboard Splunk, accedi al componente aggiuntivo Splunk per AWS. Scegli Input. Scegli Crea nuovo input. Nell'elenco, scegli CloudWatch. Fornisci il nome, l'account AWS e la regione AWS per i parametri del Network Firewall. Accanto a Metric Configuration, scegli Modifica in modalità avanzata. (Facoltativo) Eliminate tutti i namespace preconfigurati. Scegli Aggiungi namespace, quindi denominalo AWS/. NetworkFirewall In Dimension Value, aggiungi quanto segue. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` Per Metriche, scegli Tutto. Per Statistiche metriche, scegli Somma.* Scegli OK. Seleziona Salva. Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. Questo è un parametro configurabile in Impostazioni avanzate. Per ulteriori informazioni, consulta Configurare un CloudWatch input utilizzando Splunk Web nella documentazione di Splunk.	Amministratore Splunk

Attività	Descrizione	Competenze richieste
Visualizza i principali indirizzi IP di origine.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` Questa query visualizza una tabella degli indirizzi IP di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk
Visualizza le statistiche sui pacchetti.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` Questa query visualizza una tabella delle metriche `DroppedPackets` e `ReceivedPackets` al minuto. `PassedPackets` Per una rappresentazione grafica, scegliete Visualizzazione.	Amministratore Splunk
Visualizza le porte di origine più utilizzate.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` Questa query visualizza una tabella delle porte di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk

Crea visualizzazioni Splunk utilizzando le query

Attività	Descrizione	Competenze richieste
Visualizza i principali indirizzi IP di origine.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` Questa query visualizza una tabella degli indirizzi IP di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk
Visualizza le statistiche sui pacchetti.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` Questa query visualizza una tabella delle metriche `DroppedPackets` e `ReceivedPackets` al minuto. `PassedPackets` Per una rappresentazione grafica, scegliete Visualizzazione.	Amministratore Splunk
Visualizza le porte di origine più utilizzate.	Nella dashboard di Splunk, accedi a Search & Reporting. Nella casella Inserisci la ricerca qui, inserisci quanto segue. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` Questa query visualizza una tabella delle porte di origine con il maggior traffico, in ordine decrescente. Per una rappresentazione grafica, scegli Visualizzazione.	Amministratore Splunk