Überprüfen Sie die erforderlichen und empfohlenen Konfigurationseinstellungen für die Verwendung von XDR für Cloud - AWS VPC Flow Logs.
Bevor Sie XDR für Cloud - AWS VPC Flow Logs aktivieren und die Stack-Vorlage bereitstellen,
überprüfen Sie die folgenden Empfehlungen und Anforderungen für die Funktion:
-
XDR für Cloud - AWS VPC Flow Logs unterstützt vollständige Erkennungsfunktionen für VPC Flow Logs Version 5 oder höher. Für die umfassendste Bedrohungserkennung verwenden Sie ein benutzerdefiniertes Format und fügen Sie die folgenden Felder zu Ihren Flow-Log-Datensätzen hinzu:
Aktion(Standard)tcpFlagspktDstAddrpktSrcAddrFlussrichtungWeitere Informationen zum Erstellen benutzerdefinierter Flow-Log-Felder finden Sie unter https://docs.aws.amazon.com/vpc/latest/userguide/flow-log-records.html. Weitere Informationen zum Erstellen eines benutzerdefinierten Flow-Logs finden Sie unter https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3-create-flow-log.html. -
Sie müssen einen Ziel-S3-Bucket in derselben Region wie die VPC-Flow-Log-Quelle verwenden.Zum Beispiel, wenn die Quelle des VPC-Flow-Protokolls in
us-east-2ist, muss sich der S3-Bucket ebenfalls inus-east-2befinden. -
Diese Funktion unterstützt nur die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Diese Funktion unterstützt keine andere Verschlüsselungsmethode.
-
Trend Micro empfiehlt die Verwendung eines 10-minütigen Aggregationsintervalls, um die Anzahl der Lambda-Aufrufe zu reduzieren und die Kostenbelastung der Funktion zu senken.
-
Trend Micro empfiehlt, das Textformat für Ihre VPC-Flow-Protokolle zu verwenden, um die Ausführungszeit von Lambda zu verkürzen und die Kostenbelastung der Funktion zu senken.