As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Personalize os CloudWatch alertas da Amazon para AWS Network Firewall
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall"></a>

*Jason Owens, Amazon Web Services*

## Resumo
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-summary"></a>

O padrão ajuda você a personalizar os CloudWatch alertas da Amazon que são gerados por AWS Network Firewall. Você poderá usar regras predefinidas ou criar regras personalizadas que determinam a mensagem, os metadados e a gravidade dos alertas. Em seguida, você pode agir de acordo com esses alertas ou automatizar as respostas de outros serviços da Amazon, como a Amazon EventBridge.

Nesse padrão, você gera regras de firewall compatíveis com o Suricata. O [Suricata](https://suricata.io/) é um mecanismo de detecção de ameaças de código aberto. Primeiro, você cria regras simples e depois as testa para confirmar se os CloudWatch alertas foram gerados e registrados. Depois de testar as regras com sucesso, você as modifica para definir mensagens, metadados e severidades personalizados e, em seguida, testa mais uma vez para confirmar as atualizações.

## Pré-requisitos e limitações
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-prereqs"></a>

**Pré-requisitos **
+ Um ativo Conta da AWS.
+ AWS Command Line Interface (AWS CLI) instalado e configurado em sua estação de trabalho Linux, macOS ou Windows. Para obter mais informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall instalado e configurado para usar o CloudWatch Logs. Para obter mais informações, consulte [Registrar tráfego de rede de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em uma sub-rede privada de uma nuvem privada virtual (VPC) protegida pelo Firewall de Rede.

**Versões do produto**
+ Para a versão 1 do AWS CLI, use 1.18.180 ou posterior. Para a versão 2 do AWS CLI, use 2.1.2 ou posterior.
+ O arquivo classification.config do Suricata versão 5.0.2. Para obter uma cópia desse arquivo de configuração, consulte a seção [Informações adicionais](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional).

## Arquitetura
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-architecture"></a>

![\[Uma solicitação de EC2 instância gera um alerta no Network Firewall, que encaminha o alerta para CloudWatch\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)


O diagrama da arquitetura mostra o seguinte fluxo de trabalho:

1. [Uma EC2 instância da Amazon em uma sub-rede privada faz uma solicitação usando [curl](https://curl.se/) ou Wget.](https://www.gnu.org/software/wget/)

1. O Network Firewall processa o tráfego e gera um alerta.

1. O Network Firewall envia os alertas registrados para o CloudWatch Logs.

## Ferramentas
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-tools"></a>

**Serviços da AWS**
+  CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real.
+ O [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ajuda você a centralizar os registros de todos os seus sistemas e aplicativos, Serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)é um serviço gerenciado e estável de firewall de rede e detecção e prevenção de intrusões para nuvens privadas virtuais (VPCs) no. Nuvem AWS 

**Outras ferramentas**
+ O [curl](https://curl.se/) é uma ferramenta de linha de comandos e biblioteca de código aberto.
+ O [GNU Wget](https://www.gnu.org/software/wget/) é uma ferramenta de linha de comandos gratuita.

## Épicos
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-epics"></a>

### Crie as regras de firewall e o grupo de regras
<a name="create-the-firewall-rules-and-rule-group"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Criar regras. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas da AWS, administrador de rede | 
| Criar o grupo de regras. | No AWS CLI, insira o seguinte comando. Isso cria o grupo de regras.<pre>❯ aws network-firewall create-rule-group \<br />        --rule-group-name custom --type STATEFUL \<br />        --capacity 10 --rules file://custom.rules \<br />        --tags Key=environment,Value=development</pre>Veja a seguir um exemplo de saída. Anote o `RuleGroupArn`, que você vai precisar em uma etapa posterior.<pre>{<br />    "UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }</pre> | Administrador de sistemas AWS | 

### Atualizar a política de firewall
<a name="update-the-firewall-policy"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Obtenha o ARN da política de firewall. | No AWS CLI, insira o seguinte comando. Isto retorna o nome do recurso da Amazon (ARN) da política de firewall. Registre o ARN para uso mais tarde nesse padrão.<pre>❯ aws network-firewall describe-firewall \<br />    --firewall-name aws-network-firewall-anfw \<br />    --query 'Firewall.FirewallPolicyArn'</pre>Veja o seguinte exemplo de ARN retornado por esse comando.<pre>"arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"</pre> | Administrador de sistemas AWS | 
| Atualizar a política de firewall. | No editor de texto, copie e cole o código a seguir. Substitua `<RuleGroupArn>` pelo valor que você registrou no épico anterior. Salve o arquivo como `firewall-policy-anfw.json`.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "<RuleGroupArn>"<br />        }<br />    ]<br />}</pre>Digite o comando apresentado a seguir na AWS CLI. Esse comando requer um [token de atualização](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) para adicionar as novas regras. O token é usado para confirmar que a política não foi alterada desde a última vez que você a recuperou.<pre>UPDATETOKEN=(`aws network-firewall describe-firewall-policy \<br />              --firewall-policy-name firewall-policy-anfw \<br />              --output text --query UpdateToken`)<br /> <br /> aws network-firewall update-firewall-policy \<br /> --update-token $UPDATETOKEN \<br /> --firewall-policy-name firewall-policy-anfw \<br /> --firewall-policy file://firewall-policy-anfw.json</pre> | Administrador de sistemas AWS | 
| Confirme as atualizações da política. | (Opcional) Se você desejar confirmar que as regras foram adicionadas e visualizar o formato da política, execute o comando apresentado a seguir na AWS CLI.<pre>❯ aws network-firewall describe-firewall-policy \<br />  --firewall-policy-name firewall-policy-anfw \<br />  --query FirewallPolicy</pre>Veja a seguir um exemplo de saída.<pre>{<br />    "StatelessDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatelessFragmentDefaultActions": [<br />        "aws:forward_to_sfe"<br />    ],<br />    "StatefulRuleGroupReferences": [<br />        {<br />            "ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"<br />        }<br />    ]<br />}</pre> | Administrador de sistemas AWS | 

### Testar a funcionalidade do alerta
<a name="test-alert-functionality"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Gere alertas para testes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS | 
| Valide se os alertas estão registrados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS | 

### Atualize as regras de firewall e o grupo de regras
<a name="update-the-firewall-rules-and-rule-group"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Atualize as regras do firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS | 
| Atualizar o grupo de regras. | No AWS CLI, execute os seguintes comandos. Use o ARN da sua política de firewall. Esses comandos obtêm um token de atualização e atualizam o grupo de regras com as alterações da regra.<pre>❯ UPDATETOKEN=(`aws network-firewall \<br />                describe-rule-group \<br />--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \<br />--output text --query UpdateToken`)</pre><pre> ❯ aws network-firewall update-rule-group \<br />  --rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \<br />--rules file://custom.rules \<br />--update-token $UPDATETOKEN</pre>Veja a seguir um exemplo de saída.<pre>{<br />    "UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",<br />    "RuleGroupResponse": {<br />        "RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",<br />        "RuleGroupName": "custom",<br />        "RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",<br />        "Type": "STATEFUL",<br />        "Capacity": 10,<br />        "RuleGroupStatus": "ACTIVE",<br />        "Tags": [<br />            {<br />                "Key": "environment",<br />                "Value": "development"<br />            }<br />        ]<br />    }<br />}</pre> | Administrador de sistemas AWS | 

### Testar a funcionalidade de alerta atualizada
<a name="test-the-updated-alert-functionality"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Gere um alerta para testes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS | 
| Valide o alerta alterado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS | 

## Recursos relacionados
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-resources"></a>

**Referências**
+ [Envie alertas AWS Network Firewall para um canal do Slack](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (orientação AWS prescritiva)
+ [Aumentando a prevenção de ameaças AWS com Suricata (AWS postagem no](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) blog)
+ [Modelos de implantação para AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (postagem AWS no blog)
+ [Meta-chaves do Suricata](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html)(Documentação do Suricata) 

**Tutoriais e vídeos**
+ [AWS Network Firewall oficina](https://networkfirewall.workshop.aws/)

## Mais informações
<a name="customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional"></a>

Veja a seguir o arquivo de configuração de classificação do Suricata 5.0.2. Essas classificações são usadas ao criar as regras de firewall.

```
# config classification:shortname,short description,priority
 
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
 
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
 
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```