檢視次數:

檢視使用雲端偵測 AWS VPC 流量日誌所需和建議的配置設定。

在啟用 AWS VPC 流量日誌的雲端偵測並部署堆疊範本之前,請檢視以下功能的建議和要求:
  • 雲端偵測對於 AWS VPC 流量日誌支援完整的偵測功能,適用於 VPC 流量日誌版本 5 或更新版本。為了獲得最全面的安全威脅偵測覆蓋,請使用自訂格式並將以下欄位新增至您的流量日誌記錄:
    interface-id
    srcaddr
    dstaddr
    srcport
    dstport
    action
    instance-id
    tcp-flags
    pkt-dstaddr
    pkt-srcaddr
    flow-direction
    如需有關建立自訂流量日誌欄位的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/userguide/flow-log-records.html。如需有關建立自訂流量日誌的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3-create-flow-log.html
  • 您必須使用與 VPC 流量日誌來源位於相同區域的目標 S3 儲存桶。
    例如,如果 VPC 流日誌來源位於 us-east-2,則 S3 儲存桶也必須位於 us-east-2
  • 此功能僅支援使用 Amazon S3 管理金鑰 (SSE-S3) 的伺服器端加密。此功能不支援任何其他加密方法。
  • 趨勢科技 建議使用 10 分鐘的聚合間隔,以幫助減少 lambda 調用並降低該功能的成本影響。
  • 趨勢科技 建議使用文字格式來記錄您的 VPC 流量日誌,以減少 lambda 執行時間並降低該功能的成本影響。