設定 AWS Network Firewall 政策的記錄 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Network Firewall 政策的記錄

本節說明如何啟用網路防火牆政策的集中記錄,以取得組織內流量的詳細資訊。您可以選擇流程記錄來擷取網路流量流程,或提醒記錄報告符合規則且規則動作設定為 DROP或 的流量ALERT。如需記錄的詳細資訊 AWS Network Firewall ,請參閱 AWS Network Firewall 開發人員指南 中的從 記錄網路流量 AWS Network Firewall

您可以將日誌從政策的網路防火牆防火牆傳送至 Amazon S3 儲存貯體。啟用記錄後, 會透過更新防火牆設定,將日誌 AWS Network Firewall 傳遞至您選取的 Amazon S3 儲存貯體,並保留 AWS Firewall Manager 字首 ,來傳遞每個已設定之 Network Firewall 的日誌<policy-name>-<policy-id>

注意

Firewall Manager 使用此字首來判斷 Firewall Manager 是否新增了記錄組態,或帳戶擁有者是否新增了記錄組態。如果帳戶擁有者嘗試使用保留字首進行自己的自訂記錄,則會由 Firewall Manager 政策中的記錄組態覆寫。

如需如何建立 Amazon S3 儲存貯體和檢閱儲存日誌的詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的什麼是 Amazon S3?

若要啟用記錄,您必須符合下列要求:

  • 您在 Firewall Manager 政策中指定的 Amazon S3 必須存在。

  • 您必須具備下列許可:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果記錄目的地的 Amazon S3 儲存貯體使用伺服器端加密與儲存在 中的金鑰 AWS Key Management Service,您必須將下列政策新增至 AWS KMS 客戶受管金鑰,以允許 Firewall Manager 登入您的 CloudWatch 日誌日誌群組:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

請注意,只有 Firewall Manager 管理員帳戶中的儲存貯體可用於 AWS Network Firewall 中央記錄。

當您在 Network Firewall 政策上啟用集中記錄時, Firewall Manager 會在您的帳戶上執行下列動作:

  • Firewall Manager 會更新所選 S3 儲存貯體的許可,以允許日誌交付。

  • Firewall Manager 在政策範圍內為每個成員帳戶在 S3 儲存貯體中建立目錄。您可以在 找到每個帳戶的日誌<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>

啟用網路防火牆政策的記錄

  1. 使用您的 Firewall Manager 管理員帳戶建立 Amazon S3 儲存貯體。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的建立儲存貯體。

  2. AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  3. 在導覽窗格中,選擇安全政策

  4. 選擇您要啟用記錄的網路防火牆政策。如需 AWS Network Firewall 記錄的詳細資訊,請參閱 AWS Network Firewall 開發人員指南 中的從 記錄網路流量 AWS Network Firewall

  5. 政策詳細資訊索引標籤的政策規則區段中,選擇編輯

  6. 若要啟用和彙總日誌,請在記錄組態 中選擇一或多個選項:

    • 啟用和彙總流程日誌

    • 啟用和彙總警示日誌

  7. 選擇您要交付日誌的 Amazon S3 儲存貯體。您必須為您啟用的每個日誌類型選擇一個儲存貯體。您可以針對這兩種日誌類型使用相同的儲存貯體。

  8. (選用) 如果您想要將自訂成員帳戶建立的記錄取代為政策的記錄組態,請選擇覆寫現有的記錄組態。

  9. 選擇 Next (下一步)

  10. 檢閱您的設定,然後選擇儲存以儲存對政策的變更。

停用網路防火牆政策的記錄

  1. AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇安全政策

  3. 選擇您要停用記錄的網路防火牆政策。

  4. 政策詳細資訊索引標籤的政策規則區段中,選擇編輯

  5. 記錄組態狀態 下,取消選取啟用和彙總流量日誌,如果選取啟用和彙總警示日誌

  6. 選擇 Next (下一步)

  7. 檢閱您的設定,然後選擇儲存以儲存對政策的變更。