Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Personaliza las CloudWatch alertas de Amazon para AWS Network Firewall
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall"></a>

*Jason Owens, Amazon Web Services*

## Resumen
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-summary"></a>

El patrón te ayuda a personalizar las CloudWatch alertas de Amazon generadas por AWS Network Firewall. Puede utilizar reglas predefinidas o crear reglas personalizadas que determinen el mensaje, los metadatos y la gravedad de las alertas. A continuación, puedes actuar en función de estas alertas o automatizar las respuestas de otros servicios de Amazon, como Amazon EventBridge.

En este patrón, se generan reglas de firewall compatibles con Suricata. [Suricata](https://suricata.io/) es un motor de detección de amenazas de código abierto. Primero debe crear reglas sencillas y, a continuación, probarlas para confirmar que las CloudWatch alertas se han generado y registrado. Una vez que haya probado correctamente las reglas, las modificará para definir los mensajes personalizados, los metadatos y la gravedad y, a continuación, volverá a probarlas para confirmar las actualizaciones.

## Requisitos previos y limitaciones
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-prereqs"></a>

**Requisitos previos **
+ Un activo Cuenta de AWS.
+ AWS Command Line Interface (AWS CLI) instalado y configurado en su estación de trabajo Linux, macOS o Windows. Para obtener más información, consulte [Instalación o actualización de la versión de AWS CLI más reciente](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall instalado y configurado para usar CloudWatch Logs. Para obtener más información, consulte [Registrar el tráfico de red desde AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en una subred privada de una nube privada virtual (VPC) que está protegida por Network Firewall.

**Versiones de producto**
+ Para la versión 1 de AWS CLI, utilice la versión 1.18.180 o posterior. Para la versión 2 de AWS CLI, utilice la 2.1.2 o una versión posterior.
+ El archivo classification.config de la versión 5.0.2 de Suricata. Para obtener una copia de este archivo de configuración, consulte la sección [Información adicional.](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional)

## Arquitectura
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-architecture"></a>

![\[Una solicitud de EC2 instancia genera una alerta en Network Firewall, que reenvía la alerta a CloudWatch\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)


El diagrama de la arquitectura muestra el flujo de trabajo siguiente:

1. [Una EC2 instancia de Amazon en una subred privada realiza una solicitud mediante [curl](https://curl.se/) o Wget.](https://www.gnu.org/software/wget/)

1. Network Firewall procesa el tráfico y genera una alerta.

1. Network Firewall envía las alertas registradas a CloudWatch Logs.

## Tools (Herramientas)
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-tools"></a>

**Servicios de AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas y aplicaciones Servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) es una herramienta de código abierto que le ayuda a interactuar Servicios de AWS mediante los comandos de su consola de línea de comandos.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)es un firewall de red gestionado y activo y un servicio de detección y prevención de intrusiones para nubes privadas virtuales () en el. VPCs Nube de AWS 

**Otras herramientas**
+ [curl](https://curl.se/) es una herramienta y biblioteca de línea de comandos de código abierto.
+ [GNU Wget](https://www.gnu.org/software/wget/) es una herramienta de línea de comandos gratuita.

## Epics
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-epics"></a>

### Crear las reglas y el grupo de reglas del firewall
<a name="create-the-firewall-rules-and-rule-group"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Cree reglas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS, administrador de red | 
| Cree un grupo de reglas. | En AWS CLI, introduzca el siguiente comando. De este modo se crea el grupo de reglas.<pre>❯ aws network-firewall create-rule-group \<br />        --rule-group-name custom --type STATEFUL \<br />        --capacity 10 --rules file://custom.rules \<br />        --tags Key=environment,Value=development</pre>El siguiente es un ejemplo de salida. Anote el `RuleGroupArn`, que necesitará en un paso posterior.<pre>{<br />    "UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }</pre> | Administrador de sistemas de AWS | 

### Actualizar la política de firewall
<a name="update-the-firewall-policy"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Obtenga el ARN de la política de firewall. | En AWS CLI, introduzca el siguiente comando. Esto devuelve el nombre de recurso de Amazon (ARN) de la política de firewall. Registre el ARN para su uso posterior en este patrón.<pre>❯ aws network-firewall describe-firewall \<br />    --firewall-name aws-network-firewall-anfw \<br />    --query 'Firewall.FirewallPolicyArn'</pre>A continuación se muestra un ejemplo de ARN que devuelve este comando.<pre>"arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"</pre> | Administrador de sistemas de AWS | 
| Actualice la política de firewall. | En un editor de texto, copie y pegue el siguiente código. Reemplace `<RuleGroupArn>` por el valor que registró en la sección Epics anterior. Guarde el archivo como `firewall-policy-anfw.json`.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "<RuleGroupArn>"<br />        }<br />    ]<br />}</pre>Introduzca el comando siguiente en la AWS CLI. Este comando requiere un [update token](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) (actualizar token) para agregar las nuevas reglas. El token se usa para confirmar que la política no ha cambiado desde la última vez que se recuperó.<pre>UPDATETOKEN=(`aws network-firewall describe-firewall-policy \<br />              --firewall-policy-name firewall-policy-anfw \<br />              --output text --query UpdateToken`)<br /> <br /> aws network-firewall update-firewall-policy \<br /> --update-token $UPDATETOKEN \<br /> --firewall-policy-name firewall-policy-anfw \<br /> --firewall-policy file://firewall-policy-anfw.json</pre> | Administrador de sistemas de AWS | 
| Confirme las actualizaciones de la política. | (Opcional) Si desea confirmar que se añadieron las reglas y ver el formato de la política, introduzca el comando siguiente en la AWS CLI.<pre>❯ aws network-firewall describe-firewall-policy \<br />  --firewall-policy-name firewall-policy-anfw \<br />  --query FirewallPolicy</pre>El siguiente es un ejemplo de salida.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"<br />        }<br />    ]<br />}</pre> | Administrador de sistemas de AWS | 

### Probar la funcionalidad de las alertas
<a name="test-alert-functionality"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Genere alertas para las pruebas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS | 
| Valide que las alertas estén registradas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS | 

### Actualizar las reglas y el grupo de reglas del firewall
<a name="update-the-firewall-rules-and-rule-group"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Actualice las reglas del firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS | 
| Actualice el grupo de reglas. | En AWS CLI, ejecute los siguientes comandos. Utilice el ARN de su política de firewall. Estos comandos obtienen un token de actualización y actualizan el grupo de reglas con los cambios de las reglas.<pre>❯ UPDATETOKEN=(`aws network-firewall \<br />                describe-rule-group \<br />--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \<br />--output text --query UpdateToken`)</pre><pre> ❯ aws network-firewall update-rule-group \<br />  --rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \<br />--rules file://custom.rules \<br />--update-token $UPDATETOKEN</pre>El siguiente es un ejemplo de salida.<pre>{<br />    "UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }<br />}</pre> | Administrador de sistemas de AWS | 

### Probar la funcionalidad de la alerta actualizada
<a name="test-the-updated-alert-functionality"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Genere una alerta para probarla. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS | 
| Valide la alerta modificada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS | 

## Recursos relacionados
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-resources"></a>

**Referencias**
+ [Envía alertas desde AWS Network Firewall un canal de Slack (guía](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html)AWS prescriptiva)
+ [Ampliando la prevención de amenazas AWS con Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (entrada del blog)AWS 
+ [Modelos de despliegue para AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (AWS entrada de blog)
+ [Suricata meta keyworks](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) (Claves meta de Suricata) (documentación de Suricata)

**Tutoriales y videos**
+ [AWS Network Firewall taller](https://networkfirewall.workshop.aws/)

## Información adicional
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional"></a>

A continuación se muestra el archivo de configuración de clasificación de Suricata 5.0.2. Estas clasificaciones se utilizan al crear las reglas de firewall.

```
# config classification:shortname,short description,priority
 
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
 
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
 
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```