Ansichten:

Konfigurieren, überwachen und betreiben Sie Cloud-IPS mit AWS Network Firewall.

Regelgruppen konfigurieren

TrendAI Vision One™-Regelgruppen werden als vollständige Einheiten innerhalb der AWS-Netzwerk-Firewall verwaltet. Siehe Regelgruppen für weitere Informationen.
So aktivieren oder deaktivieren Sie eine verwaltete Regelgruppe von TrendAI Vision One™:
  1. Navigieren Sie zu VPCNetwork FirewallFirewall policies.
  2. Wählen Sie Ihre Firewall-Richtlinie aus.
  3. Im Abschnitt Zustandsbehaftete Regelgruppen:
    • Zum Aktivieren: Klicken Sie auf Add partner managed rule groups und wählen Sie die Regelgruppe aus.
    • Zum Deaktivieren: Wählen Sie die Regelgruppe aus und klicken Sie auf Entfernen.
  4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
Wichtig
Wichtig
TrendAI Vision One™ verwaltete Regelgruppen werden als vollständige Einheit aktiviert oder deaktiviert. Sie können einzelne Regeln innerhalb einer Regelgruppe nicht deaktivieren.

Aktivität überwachen

Cloud-IPS-Ereignisse werden über die Standardprotokollierungsmechanismen der AWS Network Firewall protokolliert:
  • CloudWatch Logs: Echtzeit-Log-Streaming zu CloudWatch
  • S3: Stapel-Export in S3-Buckets zur Langzeitspeicherung
  • Kinesis Data Firehose: Protokolle an Analyseplattformen streamen
Protokolle enthalten Alarm- und Sperrereignisse mit vollständigem Kontext (Quell-/Ziel-IP-Adressen, Ports, Protokolle, Bedrohungsnamen und Signaturen). Konfigurieren Sie die Protokollierung in Ihren AWS-Netzwerk-Firewall-Einstellungen.
  1. Navigieren Sie zu CloudWatchLog groups.
  2. Finden Sie Ihre Netzwerk-Firewall-Protokollgruppe (normalerweise benannt /aws/networkfirewall/[firewall-name]).
  3. Protokolle für erkannte Bedrohungen anzeigen.
Alarmprotokolle zeigen Quell- und Ziel-IP-Adressen, erkannte Bedrohungssignaturen und jede durchgeführte Aktion (standardmäßig gesperrt).

Leistung überwachen

Um die Leistungskennzahlen der Netzwerk-Firewall zu überwachen:
  1. Navigieren Sie zu CloudWatchMetricsAWS/NetworkFirewall.
  2. Monitor:
    • Verarbeitete Pakete: Stellen Sie einen gleichmäßigen Durchsatz sicher.
    • Verworfene Pakete: Überwachen Sie unerwartete Verluste.
    • TLS-Verbindungen: Wenn Sie TLS-Inspektion verwenden.

Endpunktkapazität

Jeder AWS Network Firewall-Endpunkt unterstützt bis zu 30.000 Kapazitätseinheiten.
TrendAI Vision One™-verwaltete Regelgruppenkapazität:
  • TrendAI-MalwareBlockStrictOrder: ~6.000 Kapazitätseinheiten
  • TrendAI-CVEClientBlockStrictOrder: ~6.000 Kapazitätseinheiten
  • TrendAI-CVEServerBlockStrictOrder: ~6.000 Kapazitätseinheiten
Alle drei Regelgruppen haben zusammen eine Kapazität von ~18.000 Einheiten. Die verbleibende Kapazität für AWS-verwaltete Regeln und benutzerdefinierte Regeln beträgt ~12.000 Einheiten.
Hinweis
Hinweis
Solange die Gesamtkapazität unter 30.000 Einheiten bleibt, ist die Leistungsauswirkung minimal.