Amazon AWS Network Firewall

Le IBM QRadar DSM Amazon AWS Network Firewall collecte des événements à partir d'une unité Amazon AWS Network Firewall à l'aide du protocole d'API REST Amazon AWS.

Amazon AWS Network Firewall est un pare-feu réseau avec état qui permet aux utilisateurs de filtrer le trafic sur le périmètre de leur service Amazon Virtual Private Cloud (VPC).

Pour intégrer Amazon AWS Network Firewall avec QRadar, procédez comme suit :
  1. Si les mises à jour automatiques ne sont pas activées, les RPM peuvent être téléchargés à partir du site Web d'assistance IBM®. Téléchargez et installez la version la plus récente des RPM suivants sur votre QRadar Console :
    • Protocol Common RPM
    • AWS S3 REST API PROTOCOL RPM
    • Amazon AWS Network Firewall DSM RPM
  2. Configurez votre unité Amazon AWS Network Firewall pour publier des journaux d'alerte ou de flux dans un compartiment S3. Pour plus d'informations, consultez la documentation d'Amazon AWS.
  3. Créez la file d'attente SQS utilisée pour recevoir les notifications ObjectCreated à partir du compartiment S3 que vous avez utilisé à l'étape 2. Pour plus d'informations, voir Création d'une file d'attente SQS et configuration des notifications S3 ObjectCreated.
  4. Configurez les données d'identification de sécurité pour votre compte utilisateur AWS. Pour plus d'informations, voir Configuration des données d'identification de sécurité pour votre compte utilisateur AWS.
  5. Ajoutez une source de journal Amazon AWS Network Firewall sur QRadar Console à l'aide du protocole d'API REST Amazon AWS. Pour plus d'informations, voir Paramètres de la source du journal de l'API REST Amazon AWS pour Amazon AWS Network Firewall.
    Important: Pour recevoir des journaux de flux dans QRadar, un QRadar Flow Processor doit être disponible et sous licence. Contrairement aux autres sources de journal, les journaux de flux d'AWS Network ne sont pas envoyés à l'onglet Activité de journal. Ils sont envoyés à l'onglet Activité réseau.