Configurer la collecte de données à l'aide des journaux de flux VPC

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Activez l'application Mappage des services pour qu'elle effectue la détection en fonction des données collectées à l'aide des journaux Virtual Private Cloud (VPC). Cette méthode est appropriée pour les organisations utilisant Amazon Web Services (AWS).

    Avant de commencer

    Vérifiez que les informations d’identification du compte AWS sont configurées dans le module Informations d’identification de la plateforme en accédant à Mappage des services > Identifiants > Informations d'identification AWS. Pour plus d’informations sur les informations d’identification AWS, consultez Informations d’identification dans le cloud.

    Rôle requis : admin ou sm_admin

    Pourquoi et quand exécuter cette tâche

    Dans les systèmes de base, la détection basée sur le trafic utilise uniquement les données liées à TCP collectées à l'aide des commandes netstat, ss et lsof. La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir la détection basée sur le trafic en configurant l'application Mappage des services pour qu'elle utilise les journaux de flux VPC. Pour en savoir plus sur le flux de détection Mappage des services basé sur les journaux de flux VPC, consultez Collecter et détecter des données à l'aide des journaux de flux VPC.

    Amazon VPC héberge des instances Amazon Elastic Compute Cloud (EC2) qui fournissent Amazon Web Services. Les journaux de flux VPC collectent des données sur le trafic IP existant vers et depuis les interfaces réseau dans le VPC.

    Configurez le connecteur ServiceNow pour déclencher la collecte de données par Serveur MID à partir du journal de flux ainsi que leur traitement. Dans les déploiements comptant plusieurs groupes de journaux de flux, configurez un connecteur dédié qui fonctionne avec un Serveur MID pour chaque groupe de journaux de flux. Plusieurs groupes de journaux de flux peuvent utiliser les mêmes informations d'identification AWS.

    Procédure

    1. Configurez les journaux de flux VPC sur la console Amazon EC2 comme décrit dans la documentation AWS officielle.
    2. Configurez l'application Mappage des services pour qu'elle utilise les journaux de flux VPC :
      1. Accédez à la Mappage des services > Administration > Connecteurs de flux.
      2. Cliquez sur Nouveau.
      3. Cliquez sur Journaux de flux AWS VPC.
      4. Sur la page des journaux de flux AWS VPC, configurez les paramètres du connecteur comme suit :
        Champ Description
        Nom Nom descriptif du connecteur.
        Nom du groupe Nom du groupe de journaux de flux central vers lequel les instances Amazon EC2 transfèrent leurs flux de journaux.
        MID Server Serveur MID que Mappage des services utilise pour collecter les données du groupe de journaux de flux sur AWS.
        Informations d'identification AWS Sélectionnez les informations d'identification AWS appropriées pour le compte pour lequel vous souhaitez collecter des journaux de flux.
      5. Cliquez sur Envoyer.
    3. Vérifiez que Mappage des services collecte les données à l'aide des journaux de flux VPC :
      1. Sur le formulaire Journaux de flux AWS VPC, sélectionnez le connecteur que vous venez de configurer, puis cliquez sur Exécuter maintenant pour démarrer le flux de collecte de données et renseignez la table Connexion de flux [sa_flow_connection].
      2. Accédez à la Définitions du système > Tables.
      3. Cliquez sur la table Connexion de flux [sa_flow_connection].
      4. Sous Liens connexes, cliquez sur Afficher la liste.
      5. Vérifiez que la table contient des données.