Configuración de un origen de registro de Amazon AWS Route 53 utilizando un grupo S3 con una cola SQS

Puede recopilar registros de consulta del programa de resolución de ruta 53 de AWS de varias cuentas o regiones en un grupo Amazon S3 . Configure un origen de registro en QRadar Console para que Amazon AWS Route 53 se pueda comunicar con QRadar utilizando el protocolo de API REST AWS S3 de Amazon y una cola SQS (Simple Queue Service).

Acerca de esta tarea

El uso del protocolo de la API REST AWS S3 de Amazon y una cola SQS (Simple Queue Service) en lugar de con un prefijo de directorio tiene las ventajas siguientes:
  • Puede utilizar un origen de registro para un grupo S3 , en lugar de un origen de registro para cada región y cuenta.
  • Existe una menor probabilidad de que falten archivos porque este método utiliza las notificaciones ObjectCreate para determinar cuándo están listos los nuevos archivos.
  • Es fácil equilibrar la carga entre varios Event Collectors porque la cola SQS da soporte a conexiones de varios clientes.
  • A diferencia del método de prefijo de directorio, el método de cola SQS no requiere que los nombres de archivo de las carpetas estén en una serie que se ordene en orden ascendente basándose en la vía de acceso completa. Los nombres de archivo de las aplicaciones personalizadas no siempre se ajustan a este método.
  • Puede supervisar la cola SQS y configurar alertas si supera un determinado número de registros. Estas alertas proporcionan información sobre si QRadar se está retrasando o no está recopilando sucesos.
  • Puede utilizar la autenticación de rol de IAM con SQS, que es la práctica recomendada de Amazon para la seguridad.
  • El manejo de certificados se ha mejorado con el método SQS y no requiere la descarga de certificados en Event Collector.

Procedimiento

  1. Configurar registro de consultas del programa de resolución. En el Paso 5 de dicho procedimiento, seleccione GrupoS3 como destino de los registros de consulta.
  2. Cree la cola SQS que se utiliza para recibir notificaciones de ObjectCreated .
  3. Cree un usuario de Amazon AWS Identity and Access Management (IAM) y, a continuación, aplique la política AmazonS3ReadOnlyAccess .
  4. Configure las credenciales de seguridad para la cuenta de usuario de AWS .
  5. Amazon AWS S3 Parámetros de origen de registro de la API REST para Amazon AWS Route 53 al utilizar una cola SWS.