Zeek 来源配置
与 Zeek 集成
要将 Zeek 与 CloudWatch Logs 集成,必须同时配置来源和管道。首先,通过将 Amazon S3 和 Amazon SQS 配置为接收数据来设置 Zeek 来源。随后,配置 CloudWatch 管道,将数据来源中的数据摄取到 CloudWatch Logs 中。
Amazon S3 与 Amazon SQS 设置说明
将 Zeek 配置为将日志发送到 Amazon S3 存储桶,需执行多个步骤,主要围绕设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 角色,然后配置 CloudWatch 管道。
使用 Fluent Bit 配置 Zeek 日志
-
在 Zeek 主机上安装 Fluent Bit(一种轻量级日志收集器,用于读取日志文件并将其转发到 Amazon S3 等目标),然后对其进行配置以跟踪 Zeek 日志文件(例如
/opt/zeek/logs/current/*.log)。 -
配置 Amazon 凭证(IAM 角色或
aws configure),以便 Fluent Bit 有权将对象上传到 Amazon S3 存储桶。 -
更新 Fluent Bit 配置以使用 S3 输出插件,指定 Zeek 日志的存储桶名称、区域和 S3 密钥路径。
-
启动并启用 Fluent Bit 服务,从而持续收集 Zeek 日志并将其上传到 Amazon S3 以供下游摄取。
Amazon S3 和 Amazon SQS 配置
-
用于存储 Zeek 日志的 Amazon S3 存储桶应位于同一 Amazon 区域。
-
为该 Amazon S3 存储桶配置事件通知,需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
-
Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 Amazon 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
配置 CloudWatch 管道
配置管道以从 Zeek 读取数据时,请将 Zeek 选择为数据来源。填写必填信息并创建管道后,所选的 CloudWatch Logs 日志组中将显示数据。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 v1.5.0,以及映射到 OCSF 类的事件。下表列出了支持的事件映射。
| 事件名称 | OCSF 类 |
|---|---|
| conn | 网络活动(4001) |
| DNS | DNS 活动(4003) |
| http | HTTP 活动(4002) |
| ssl | 网络活动(4001) |
| ssh | SSH 活动(4007) |
| Kerberos | 身份验证(3002) |
| rdp | RDP 活动(4005) |
| 文件 | 网络活动(4001) |
| NOTICE | 检测调查发现(2004) |
| known_hosts | 基础事件(0) |
| x509 | 网络活动(4001) |
| ftp | FTP 活动(4008) |
| SMTP | 电子邮件活动(4009) |
| dhcp | DHCP 活动(4004) |
| ntlm | 身份验证(3002) |
| smb_files | SMB 活动(4006) |
| smb | SMB 活动(4006) |
| dce_rpc | SMB 活动(4006) |
| ldap | 身份验证(3002) |
| ldap_search | 网络活动(4001) |
| quic | 网络活动(4001) |
| 隧道 | 隧道活动(4014) |
| pe | 基础事件(0) |
| weird | 基础事件(0) |
| known_services | 基础事件(0) |
| 软件 | 软件清单信息(5020) |
| reporter | 基础事件(0) |
与任何 OCSF 映射转换不匹配的事件会自动传递并直接发送到配置的接收器,无需额外处理。