Amazon Web Services iletişim kuralını ve Kinesis Veri Akışlarını kullanarak Amazon CloudFront günlük kaynağı ekleme

Amazon Kinesis Veri Akışlarından Amazon CloudFront günlüklerini toplamak istiyorsanız, Amazon CloudFront ürününün Amazon Web Services iletişim kuralını kullanarak QRadar ile iletişim kurabilmesi için QRadar® Console ' e bir günlük kaynağı ekleyin.

İşlem

Aşağıdaki tabloda, Amazon Web Services iletişim kuralını kullanarak Amazon CloudFront olanağından denetim olaylarını toplamak için belirli değerler gerektiren parametreler açıklanmaktadır:

Tablo 1. Amazon Kinesis Data Streams içinAmazon Web Services günlük kaynağı parametreleri
Parametre	Açıklama
İletişim Kuralı Yapılandırması	Protocol Configuration (İletişim Kuralı Yapılandırması) listesinden Amazon Web Services seçeneğini belirleyin.
Kimlik doğrulama yöntemi	Erişim Anahtarı Tanıtıcısı/Güvenlik Anahtarı Anahtarı Herhangi bir yerden kullanılabilecek standart kimlik doğrulaması. EC2 Yönetim Ortamı IAM Rolü QRadar yönetilen anasisteminiz bir AWS EC2 örneğinde çalıştırılıyorsa, bu seçeneği belirlediğinizde kimlik doğrulama için eşgörünüme atanmış meta verilerden IAM rolü kullanılır. Anahtar gerekmez. Bu yöntem, yalnızca bir AWS EC2 kapsayıcısı içinde çalışan yönetilen anasistemler için çalışır.
Erişim Anahtarı	The Access Key ID that was generated when you configured the security credentials for your AWS user account. Access Key ID/Secret Key (Anahtar Tanıtıcısı/Güvenlik Anahtarı Anahtarı) ya da Insay IAM Role(IAM Rolü Varsay) seçeneğini belirlediyseniz, Access Key parametresi
Gizli Anahtar	AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırdığınızda oluşturulan Gizli Anahtar. Erişim Anahtarı Tanıtıcısı/Gizli Anahtarı ya da İAM Rolünün üstlenilmesiseçeneğini belirlediyseniz, Gizli Anahtar parametresi görüntülenir.
IAM Rolünün Varsay	Bir Erişim Anahtarı ya da EC2 eşgörünüm IAM Rolü ile kimlik doğrulaması yapmak için bu seçeneği etkinleştirin. Daha sonra, erişim için bir IAM Rolünün geçici olarak varolduğunu tahmin edebilirsiniz.
Rol ARN ' i varsay	Varsayma rolünün tam ARN ' i. `arn:` ile başlamalı ve başında ya da sonunda boşluk ya da ARN içinde boşluk bulunamaz. IAM Role varsayseçeneğini etkinleştirdiyseniz, Rin Role ARN (Rol ARN) parametresinin görüntülendiğini varsayalım.
Rol Oturumu Adını Varsay	Varsayma rolünün oturum adı. Varsayılan değer `QRadarAWSSession`' dir. Değiştirmeniz gerekmiyorsa, varsayılan değeri olarak bırakın. Bu parametre yalnızca üst ve küçük harfli alfasayısal karakterleri, alt çizgileri ya da şu karakterlerden herhangi birini içerebilir: `=,.@-` IAM Rolünün üstlenilsinözelliğini etkinleştirdiyseniz, Rol Oturumu Adının Varsay parametresi görüntülenir.
Bölgeler	Günlükleri toplamak istediğiniz Amazon Web Hizmeti ile ilişkili her bölgeyi açın.
AWS Hizmeti	AWS Service listesinden Kinesis Data Streams(Kinesis Veri Akımları) seçeneğini belirleyin.
Kinesis Veri Akımı	Verilerin tüketileceği Kinesis Veri Akımı.
Kinesis İleri Düzey Seçeneklerini Etkinleştir	Aşağıdaki isteğe bağlı gelişmiş yapılandırma değerlerini etkinleştirin. İleri düzey seçenek değerleri, yalnızca bu seçenek seçildiğinde kullanılır; tersi durumda, varsayılan değerler kullanılır. Akıştaki İlk Konum Bu seçenek, yeni yapılandırılmış bir günlük kaynağında hangi verilerin çekileceğini denetler. Kullanılabilir en son verileri çekmek için En Son seçeneğini belirleyin. Kullanılabilir olan en eski verileri çekmek için Kırpma Ufku öğesini seçin. Kinesis Worker İş Parçacığı Sayısı Kinesis Data Stream işlemi için kullanılacak işçi iş parçacıklarının sayısı. Her işçi iş parçacığı, kayıt boyutuna ve sistem yüklerine bağlı olarak saniyede yaklaşık 10000-20000 olaylarını işleyebilir. Günlük kaynağınız akışta yeni verileri işleyemediyse, buradaki iş parçacıklarının sayısını en fazla 16 artışa kadar artırabilirsiniz. İzin verilen aralık 1-16 arasındadır. Varsayılan değer 2 'dir. Denetim Noktası Aralığı Veri sıra numaralarının denetim noktası tarafından kullanılan aralık (saniye). Kinesis Veri Akımında bir shard kaydındaki her kaydın sıra numarası vardır. Konumunuzu işaretlemek, işlem başarısız olursa ya da hizmet yeniden başlatılırsa, bu shard 'ın işlemeyi aynı noktada sürdürmesini sağlar. Daha sık kullanılan bir aralık veri yinelemesini azaltır, ancak Amazon Dynamo DB kullanımını artırır. İzin verilen aralık 1-3600 saniyedir. Varsayılan 10 saniyedir. Kinesis Uygulaması Bu günlük kaynağının, Kinesis Data Stream içindeki kullanılabilir tüm çalılardan veri tüketmesini silmek için bu seçeneği boş bırakın. Birden çok olay işlemcisi üzerinde birden çok günlük kaynağının kayıp ya da çoğaltma olmadan günlük tüketimine sahip olması için, bu günlük kaynakları üzerinde ortak bir Kinesis Uygulaması kullanın (Örnek: ProdKinesisTüketicileri). Bölüm Bir bölüm adı belirterek Kinesis Data Stream içindeki belirli bir bölümden veri toplamak için bu seçeneği belirleyin.
Özgün Olayı Çıkar	Yalnızca Kinesis Veri Akımı için eklenen özgün olayı iletir. Kinesis günlükleri, fazladan meta verilerle aldıkları olayları sona erdirir. Select this option if you want only the original event that was sent to AWS without the additional stream metadata through Kinesis. Özgün olay, Kinesis günlüğünden çıkarılan ileti anahtarına ilişkin değerdir. Aşağıdaki Kinesis günlükleri olayı örneği, vurgulanan metindeki Kinesis günlüğünden çıkarılan özgün olayı gösterir: {"owner":"123456789012","subscriptionFilters":["allEvents"],"logEvents":[{"id":"35093963143971327215510178578576502306458824699048362100","message":"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role\/CVDevABRoleToBeAssumed\/test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\"arn:aws:iam::123456789012:role\/CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudtrail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"ap-northeast-1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":null,\"responseElements\":null,\"requestID\":\"41e62e80-b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipientAccountId\":\"123456789012\"}","timestamp":1573667733143}],"messageType":"DATA_MESSAGE","logGroup":"CloudTrail\/DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}
Ağ Geçidi Günlük Kaynağı Olarak Kullan	Olaylar için özel bir günlük kaynağı tanıtıcısı tanımlamak istemiyorsanız, onay kutusundaki işareti kaldırın. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneğini belirlemezseniz ve Günlük Kaynağı Tanıtıcısı Örüntüyapılandırmasını yapmazsanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır.
Tahmine Dayalı Ayrıştırma Kullan	Bu parametreyi etkinleştirdiğinizde, bir algoritma, her olay için regex 'i çalıştırmadan günlük kaynak tanıtıcısı kalıplarını olay çıkarır ve bu da ayrıştırma hızını artırır. İpucu: Az rastlanan durumlarda, algoritma yanlış tahminler yapabilir. Tahmine dayalı ayrıştırmayı yalnızca yüksek olay oranları almayı beklediğiniz günlük kaynak tipleri için etkinleştirin ve daha hızlı ayrıştırma gerektirir.
Günlük Kaynağı Tanıtıcısı Kalıbı	Ağ Geçidi Günlük Kaynağı Olarak Kullanseçeneğini belirlediyseniz, işlenmekte olan olaylar için ve uygun olduğunda günlük kaynakları için otomatik olarak keşfedilecek özel bir günlük kaynağı tanımlayıcısı tanımlayabilirsiniz. Günlük Kaynağı Tanıtıcısı Kalıbı' yı yapılandırmadıysanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır. Özel Günlük Kaynağı Tanıtıcısını tanımlamak için anahtar-değer çiftlerini kullanın. Anahtar, sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Bu değer, anahtarı uyarlamak için kullanılabilecek yakalama gruplarını da destekler. Her bir kalıbı yeni bir çizgiden yazarak birden çok anahtar-değer çiftini tanımlayın. Birden çok kalıp, listelendikleri sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir. Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevi gösterilmektedir. Modeller `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Takvim Etkinlikleri `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Sonuçtaki özel günlük kaynağı tanıtıcısı VPC-ACCEPT-Tamam
Yetkili Sunucu Kullan	QRadar , bir yetkili sunucu kullanarak Amazon Web Service 'e erişirse, bu seçeneği belirleyin. Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu IP ya da Anasistem Adı alanını yapılandırın.
EPS Daraltma	Saniye başına olay sayısı üst sınırına (EPS) ilişkin üst sınır. Varsayılan değer 5000 'dir. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, bu değer isteğe bağlıdır. EPS Throttle parametre değeri boş bırakılırsa, QRadartarafından EPS sınırı uygulanmaz.

QRadar ' in doğru yapılandırıldığını doğrulamak için, bir ayrıştırılmış olay iletisinin örneğini görmek için aşağıdaki çizelgeyi gözden geçirin.

Gerçek CloudFront günlükleri Kinesis Data Streams sekmeyle ayrılmış değer (TSV) bilgi yüküne sarılır:

Olay adı Düşük düzeyli kategori Örnek günlük iletisi

hit_ok

İstek Başarılı

Tablo 2. Kinesis Data Streams, Amazon CloudFront DSM tarafından desteklenen örnek ileti
Olay adı	Düşük düzeyli kategori	Örnek günlük iletisi
hit_ok	İstek Başarılı	1663583003.838 2001:DB8:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF timeToFirstByte status scbytes GET https host /uri csbytes xEdgeLocation xedgeRequestId xHostHeader timeTaken csProtocolVersion cIpversion userAgent csReferer cs-cookie csUriQuery xEdgeResultResponseType xForwardedFor sslProtocol sslCipher xEdgeResultType fleEncryptedFields fleStatus scContentType scContentLen scRangeStart scRangeEnd 80 xEdgeDetailedResultType country csAcceptEncoding csAccept cacheBehaviour csHeader csHeaderName csHeaderCount

1663583003.838	2001:DB8:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF	timeToFirstByte	status	scbytes	GET	https	host	/uri	csbytes	xEdgeLocation	xedgeRequestId	xHostHeader	timeTaken	csProtocolVersion	cIpversion	userAgent	csReferer	cs-cookie	csUriQuery	xEdgeResultResponseType	xForwardedFor	sslProtocol	sslCipher	xEdgeResultType	fleEncryptedFields	fleStatus	scContentType	scContentLen	scRangeStart	scRangeEnd	80	xEdgeDetailedResultType	country	csAcceptEncoding	csAccept	cacheBehaviour	csHeader	csHeaderName	csHeaderCount