Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kustomisasi CloudWatch peringatan Amazon untuk AWS Network Firewall
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall"></a>

*Jason Owens, Amazon Web Services*

## Ringkasan
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-summary"></a>

Pola ini membantu Anda menyesuaikan CloudWatch peringatan Amazon yang dihasilkan oleh AWS Network Firewall. Anda dapat menggunakan aturan yang telah ditentukan sebelumnya atau membuat aturan khusus yang menentukan pesan, metadata, dan tingkat keparahan peringatan. Anda kemudian dapat menindaklanjuti peringatan ini atau mengotomatiskan tanggapan oleh layanan Amazon lainnya, seperti Amazon. EventBridge

Dalam pola ini, Anda menghasilkan aturan firewall yang kompatibel dengan Suricata. [Suricata](https://suricata.io/) adalah mesin pendeteksi ancaman sumber terbuka. Pertama-tama Anda membuat aturan sederhana dan kemudian mengujinya untuk mengonfirmasi bahwa CloudWatch peringatan dibuat dan dicatat. Setelah Anda berhasil menguji aturan, Anda memodifikasinya untuk menentukan pesan kustom, metadata, dan tingkat keparahan, dan Anda kemudian menguji sekali lagi untuk mengonfirmasi pembaruan.

## Prasyarat dan batasan
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-prereqs"></a>

**Prasyarat**
+ Aktif Akun AWS.
+ AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi di workstation Linux, macOS, atau Windows Anda. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall diinstal dan dikonfigurasi untuk menggunakan CloudWatch Log. Untuk informasi selengkapnya, lihat [Mencatat lalu lintas jaringan dari AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Instans Amazon Elastic Compute Cloud (Amazon EC2) di subnet pribadi virtual private cloud (VPC) yang dilindungi oleh Network Firewall.

**Versi produk**
+ Untuk versi 1 AWS CLI, gunakan 1.18.180 atau yang lebih baru. Untuk versi 2 AWS CLI, gunakan 2.1.2 atau yang lebih baru.
+ File klasifikasi.config dari Suricata versi 5.0.2. Untuk salinan file konfigurasi ini, lihat bagian [Informasi tambahan](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional).

## Arsitektur
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-architecture"></a>

![\[Permintaan EC2 instance menghasilkan peringatan di Network Firewall, yang meneruskan peringatan ke CloudWatch\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)


Diagram arsitektur menunjukkan alur kerja berikut:

1.  EC2 [Instans Amazon di subnet pribadi membuat permintaan dengan menggunakan [curl atau Wget](https://curl.se/).](https://www.gnu.org/software/wget/)

1. Network Firewall memproses lalu lintas dan menghasilkan peringatan.

1. Network Firewall mengirimkan peringatan yang dicatat ke CloudWatch Log.

## Alat
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-tools"></a>

**Layanan AWS**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, Layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)adalah firewall jaringan stateful, dikelola, dan layanan deteksi dan pencegahan intrusi untuk cloud pribadi virtual () VPCs di. AWS Cloud 

**Alat-alat lainnya**
+ [curl](https://curl.se/) adalah alat baris perintah sumber terbuka dan perpustakaan.
+ [GNU Wget](https://www.gnu.org/software/wget/) adalah alat baris perintah gratis.

## Epik
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-epics"></a>

### Buat aturan firewall dan grup aturan
<a name="create-the-firewall-rules-and-rule-group"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Buat aturan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS, Administrator jaringan | 
| Buat grup aturan. | Di AWS CLI, masukkan perintah berikut. Ini menciptakan grup aturan.<pre>❯ aws network-firewall create-rule-group \<br />        --rule-group-name custom --type STATEFUL \<br />        --capacity 10 --rules file://custom.rules \<br />        --tags Key=environment,Value=development</pre>Berikut ini adalah output contoh. Catat`RuleGroupArn`, yang Anda butuhkan di langkah selanjutnya.<pre>{<br />    "UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }</pre> | Administrator sistem AWS | 

### Perbarui kebijakan firewall
<a name="update-the-firewall-policy"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Dapatkan ARN dari kebijakan firewall. | Di AWS CLI, masukkan perintah berikut. Ini mengembalikan Nama Sumber Daya Amazon (ARN) dari kebijakan firewall. Rekam ARN untuk digunakan nanti dalam pola ini.<pre>❯ aws network-firewall describe-firewall \<br />    --firewall-name aws-network-firewall-anfw \<br />    --query 'Firewall.FirewallPolicyArn'</pre>Berikut ini adalah contoh ARN yang dikembalikan oleh perintah ini.<pre>"arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"</pre> | Administrator sistem AWS | 
| Perbarui kebijakan firewall. | Dalam editor teks, salin tempel kode berikut. Ganti `<RuleGroupArn>` dengan nilai yang Anda rekam di epik sebelumnya. Simpan file sebagai `firewall-policy-anfw.json`.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "<RuleGroupArn>"<br />        }<br />    ]<br />}</pre>Masukkan perintah berikut di file AWS CLI. Perintah ini memerlukan [token pembaruan](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) untuk menambahkan aturan baru. Token digunakan untuk mengonfirmasi bahwa kebijakan tidak berubah sejak terakhir kali Anda mengambilnya.<pre>UPDATETOKEN=(`aws network-firewall describe-firewall-policy \<br />              --firewall-policy-name firewall-policy-anfw \<br />              --output text --query UpdateToken`)<br /> <br /> aws network-firewall update-firewall-policy \<br /> --update-token $UPDATETOKEN \<br /> --firewall-policy-name firewall-policy-anfw \<br /> --firewall-policy file://firewall-policy-anfw.json</pre> | Administrator sistem AWS | 
| Konfirmasikan pembaruan kebijakan. | (Opsional) Jika Anda ingin mengonfirmasi aturan ditambahkan dan melihat format kebijakan, masukkan perintah berikut di AWS CLI.<pre>❯ aws network-firewall describe-firewall-policy \<br />  --firewall-policy-name firewall-policy-anfw \<br />  --query FirewallPolicy</pre>Berikut ini adalah output contoh.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"<br />        }<br />    ]<br />}</pre> | Administrator sistem AWS | 

### Fungsionalitas peringatan uji
<a name="test-alert-functionality"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Hasilkan peringatan untuk pengujian. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS | 
| Validasi bahwa peringatan dicatat. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS | 

### Perbarui aturan firewall dan grup aturan
<a name="update-the-firewall-rules-and-rule-group"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Perbarui aturan firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS | 
| Perbarui grup aturan. | Di AWS CLI, jalankan perintah berikut. Gunakan ARN kebijakan firewall Anda. Perintah ini mendapatkan token pembaruan dan memperbarui grup aturan dengan perubahan aturan.<pre>❯ UPDATETOKEN=(`aws network-firewall \<br />                describe-rule-group \<br />--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \<br />--output text --query UpdateToken`)</pre><pre> ❯ aws network-firewall update-rule-group \<br />  --rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \<br />--rules file://custom.rules \<br />--update-token $UPDATETOKEN</pre>Berikut ini adalah output contoh.<pre>{<br />    "UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }<br />}</pre> | Administrator sistem AWS | 

### Uji fungsionalitas peringatan yang diperbarui
<a name="test-the-updated-alert-functionality"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Hasilkan peringatan untuk pengujian. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS | 
| Validasi peringatan diubah. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS | 

## Sumber daya terkait
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-resources"></a>

**Referensi**
+ [Kirim peringatan dari AWS Network Firewall ke saluran Slack](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (Panduan AWS Preskriptif)
+ [Meningkatkan pencegahan ancaman AWS dengan Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (AWS posting blog)
+ [Model penyebaran untuk AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (posting AWS blog)
+ [Pekerjaan kunci meta Suricata (dokumentasi](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) Suricata)

**Tutorial dan video**
+ [AWS Network Firewall lokakarya](https://networkfirewall.workshop.aws/)

## Informasi tambahan
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional"></a>

Berikut ini adalah file konfigurasi klasifikasi dari Suricata 5.0.2. Klasifikasi ini digunakan saat membuat aturan firewall.

```
# config classification:shortname,short description,priority
 
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
 
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
 
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```