Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait

Kirim AWS WAF log ke Splunk dengan menggunakan AWS Firewall Manager dan Amazon Data Firehose

Michael Friedenthal, Aman Kaur Gandhi, dan JJ Johnson, Amazon Web Services

Ringkasan

Secara historis, ada dua cara untuk memindahkan data ke Splunk: arsitektur push atau pull. Arsitektur pull menawarkan jaminan data pengiriman melalui percobaan ulang, tetapi membutuhkan sumber daya khusus di Splunk data jajak pendapat tersebut. Arsitektur pull biasanya tidak real time karena polling. Arsitektur push biasanya memiliki latensi yang lebih rendah, lebih terukur, dan mengurangi kompleksitas dan biaya operasional. Namun, itu tidak menjamin pengiriman dan biasanya membutuhkan agen.

Integrasi splunk dengan Amazon Data Firehose memberikan data streaming real-time ke Splunk melalui HTTP event collector (HEC). Integrasi ini memberikan keuntungan dari arsitektur push dan pull — ini menjamin pengiriman data melalui percobaan ulang, mendekati waktu nyata, dan latensi rendah dan kompleksitas rendah. HEC dengan cepat dan efisien mengirimkan data melalui HTTP atau HTTPS langsung ke Splunk. HECs berbasis token, yang menghilangkan kebutuhan untuk hardcode kredensil dalam aplikasi atau dalam file pendukung.

Dalam AWS Firewall Manager kebijakan, Anda dapat mengonfigurasi pencatatan untuk semua lalu lintas ACL AWS WAF web di semua akun, dan kemudian Anda dapat menggunakan aliran pengiriman Firehose untuk mengirim data log tersebut ke Splunk untuk pemantauan, visualisasi, dan analisis. Solusi ini memberikan manfaat sebagai berikut:

Manajemen pusat dan pencatatan untuk lalu lintas ACL AWS WAF web di semua akun Anda
Integrasi splunk dengan satu Akun AWS
Skalabilitas
Pengiriman data log yang mendekati waktu nyata
Optimalisasi biaya melalui penggunaan solusi tanpa server, sehingga Anda tidak perlu membayar sumber daya yang tidak digunakan.

Prasyarat dan batasan

Prasyarat

Aktif Akun AWS yang merupakan bagian dari organisasi di AWS Organizations.
Anda harus memiliki izin berikut untuk mengaktifkan logging dengan Firehose:
- iam:CreateServiceLinkedRole
- firehose:ListDeliveryStreams
- wafv2:PutLoggingConfiguration
AWS WAF dan webnya ACLs harus dikonfigurasi. Untuk petunjuk, lihat Memulai dengan AWS WAF.
AWS Firewall Manager harus setup. Untuk instruksi, lihat AWS Firewall Manager prasyarat.
Kebijakan keamanan Firewall Manager untuk AWS WAF harus dikonfigurasi. Untuk petunjuk, lihat Memulai AWS Firewall ManagerAWS WAF kebijakan.
Splunk harus diatur dengan titik akhir HTTP publik yang dapat dijangkau oleh Firehose.

Batasan

Akun AWS Harus dikelola dalam satu organisasi di AWS Organizations.
ACL web harus berada di Wilayah yang sama dengan aliran pengiriman. Jika Anda menangkap log untuk Amazon CloudFront, buat aliran pengiriman Firehose di Wilayah AS Timur (Virginia N.),. us-east-1
Add-on Splunk untuk Firehose tersedia untuk penerapan Splunk Cloud berbayar, penerapan Splunk Enterprise terdistribusi, dan penerapan Splunk Enterprise satu instance. Add-on ini tidak didukung untuk penerapan Splunk Cloud uji coba gratis.

Arsitektur

Tumpukan teknologi target

Firewall Manager
Firehose
Amazon Simple Storage Service (Amazon S3)
AWS WAF
Splunk

Arsitektur target

Gambar berikut menunjukkan bagaimana Anda dapat menggunakan Firewall Manager untuk mencatat semua AWS WAF data secara terpusat dan mengirimkannya ke Splunk melalui Firehose.

Diagram arsitektur yang menunjukkan pengiriman data log AWS WAF ke Splunk melalui Amazon Data Firehose

AWS WAF Web ACLs mengirim data log firewall ke Firewall Manager.
Firewall Manager mengirimkan data log ke Firehose.
Aliran pengiriman Firehose meneruskan data log ke Splunk dan ke bucket S3. Bucket S3 bertindak sebagai cadangan jika terjadi kesalahan dengan aliran pengiriman Firehose.

Otomatisasi dan skala

Solusi ini dirancang untuk skala dan mengakomodasi semua AWS WAF web ALCs dalam organisasi. Anda dapat mengonfigurasi semua web ACLs untuk menggunakan instance Firehose yang sama. Namun, jika Anda ingin mengatur dan menggunakan beberapa instance Firehose, Anda bisa.

Alat

Layanan AWS

AWS Firewall Manageradalah layanan manajemen keamanan yang membantu Anda mengonfigurasi dan mengelola aturan firewall secara terpusat di seluruh akun dan aplikasi Anda. AWS Organizations
Amazon Data Firehose membantu Anda mengirimkan data streaming real-time ke titik akhir HTTP kustom lainnya Layanan AWS, dan titik akhir HTTP yang dimiliki oleh penyedia layanan pihak ketiga yang didukung, seperti Splunk.
Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
AWS WAFadalah firewall aplikasi web yang membantu Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya aplikasi web Anda yang dilindungi.

Alat-alat lainnya

Splunk membantu Anda memantau, memvisualisasikan, dan menganalisis data log.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Instal Aplikasi Splunk untuk AWS.	Masuk ke forwarder berat Splunk Anda. URL default adalah`http://<IP address>:8000`. Di navigasi kiri, di sebelah Aplikasi, pilih tombol roda gigi. Pilih Jelajahi lebih banyak aplikasi. Cari AWS. Untuk Aplikasi Splunk AWS, pilih Instal. Masukkan kredensi masuk Splunk.com Anda, setujui syarat dan ketentuan, lalu pilih Login dan Instal. Pilih Selesai.	Administrator keamanan, administrator Splunk
Instal add-on untuk AWS WAF.	Ulangi instruksi sebelumnya untuk menginstal Add-on Firewall Aplikasi AWS Web untuk Splunk.	Administrator keamanan, administrator Splunk
Instal dan konfigurasikan add-on Splunk untuk Firehose.	Instal dan konfigurasikan add-on Splunk untuk Firehose. Sebagai bagian dari instalasi dan konfigurasi, jika perlu untuk platform Splunk Anda, Anda menyiapkan HTTP Event Collector dan menyiapkan infrastruktur untuk mengirim data log ke pengindeks Anda. Lihat petunjuk yang sesuai dengan penerapan Splunk Anda: Penyebaran Splunk Cloud (dokumentasi Splunk) Penyebaran Perusahaan Splunk Terdistribusi (Dokumentasi Splunk) Penerapan Splunk Enterprise satu instance (dokumentasi Splunk) penting Hentikan prosedur ini setelah Anda menginstal dan mengkonfigurasi add-on Splunk. Jangan lanjutkan dengan instruksi untuk mengkonfigurasi Firehose untuk mengirim data ke platform Splunk. Catat token kolektor acara HTTP dan titik akhir HTTP. Anda memerlukan nilai ini nanti, saat Anda mengonfigurasi aliran pengiriman.	Administrator keamanan, administrator Splunk

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Berikan akses Firehose ke tujuan Splunk.	Konfigurasikan kebijakan akses yang mengizinkan Firehose mengakses tujuan Splunk dan mencadangkan data log ke bucket S3. Untuk informasi selengkapnya, lihat Grant Firehose akses ke tujuan Splunk.	Administrator keamanan
Buat aliran pengiriman Firehose.	Di akun yang sama tempat Anda mengelola web AWS WAF, ACLs buat aliran pengiriman di Firehose. Anda harus memiliki IAM role saat membuat aliran pengiriman. Firehose mengasumsikan bahwa IAM berperan dan mendapatkan akses ke bucket S3 yang ditentukan. Untuk petunjuk, lihat Membuat aliran pengiriman. Perhatikan hal berikut: Nama aliran pengiriman harus dimulai dengan`aws-waf-logs-`. Untuk sumbernya, pilih Direct PUT. Untuk mode cadangan S3, pilih Backup semua acara, lalu pilih bucket yang sudah ada atau buat yang baru. Untuk tujuan, ikuti petunjuk di Pilih Splunk untuk tujuan Anda di dokumentasi Firehose. Untuk informasi tentang nilai untuk titik akhir dan tipe titik akhir Splunk, lihat Mengonfigurasi Amazon Data Firehose dalam dokumentasi Splunk. Ulangi proses ini untuk setiap token yang Anda konfigurasikan di kolektor acara HTTP.	Administrator keamanan
Uji aliran pengiriman.	Uji aliran pengiriman untuk memvalidasi bahwa itu dikonfigurasi dengan benar. Untuk petunjuk, lihat Menguji menggunakan Splunk sebagai tujuan dalam dokumentasi Firehose.	Administrator keamanan

Berikan akses Firehose ke tujuan Splunk.

Konfigurasikan kebijakan akses yang mengizinkan Firehose mengakses tujuan Splunk dan mencadangkan data log ke bucket S3. Untuk informasi selengkapnya, lihat Grant Firehose akses ke tujuan Splunk.

Administrator keamanan

Buat aliran pengiriman Firehose.

Di akun yang sama tempat Anda mengelola web AWS WAF, ACLs buat aliran pengiriman di Firehose. Anda harus memiliki IAM role saat membuat aliran pengiriman. Firehose mengasumsikan bahwa IAM berperan dan mendapatkan akses ke bucket S3 yang ditentukan. Untuk petunjuk, lihat Membuat aliran pengiriman. Perhatikan hal berikut:

Nama aliran pengiriman harus dimulai denganaws-waf-logs-.
Untuk sumbernya, pilih Direct PUT.
Untuk mode cadangan S3, pilih Backup semua acara, lalu pilih bucket yang sudah ada atau buat yang baru.
Untuk tujuan, ikuti petunjuk di Pilih Splunk untuk tujuan Anda di dokumentasi Firehose. Untuk informasi tentang nilai untuk titik akhir dan tipe titik akhir Splunk, lihat Mengonfigurasi Amazon Data Firehose dalam dokumentasi Splunk.

Ulangi proses ini untuk setiap token yang Anda konfigurasikan di kolektor acara HTTP.

Administrator keamanan

Uji aliran pengiriman.

Uji aliran pengiriman untuk memvalidasi bahwa itu dikonfigurasi dengan benar. Untuk petunjuk, lihat Menguji menggunakan Splunk sebagai tujuan dalam dokumentasi Firehose.

Administrator keamanan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfigurasikan kebijakan Firewall Manager.	Kebijakan Firewall Manager harus dikonfigurasi untuk mengaktifkan logging dan meneruskan log ke aliran pengiriman Firehose yang benar. Untuk informasi dan petunjuk selengkapnya, lihat Mengonfigurasi pencatatan untuk AWS WAF kebijakan.	Administrator keamanan