請檢查使用 XDR for 雲端 - AWS VPC 流量日誌 所需和建議的配置設定。
在啟用 XDR for 雲端 - AWS VPC 流量日誌並部署堆疊範本之前,請檢閱以下功能的建議和要求:
-
XDR for 雲端 - AWS VPC 流量日誌 支援 VPC 流量日誌版本 5 或更高版本的完整偵測功能。為了獲得最全面的安全威脅偵測覆蓋範圍,請使用自訂格式並將以下欄位新增到您的流量日誌記錄中:
動作(預設)tcpFlagspktDstAddrpktSrcAddrflowDirection如需有關建立自訂流量日誌欄位的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/userguide/flow-log-records.html。如需有關建立自訂流量日誌的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3-create-flow-log.html。 -
您必須使用與 VPC 流量日誌來源位於相同區域的目標 S3 儲存桶。例如,如果 VPC 流日誌來源位於
us-east-2,則 S3 儲存桶也必須位於us-east-2。 -
此功能僅支援使用 Amazon S3 管理金鑰 (SSE-S3) 的伺服器端加密。此功能不支援任何其他加密方法。
-
趨勢科技 建議使用 10 分鐘的聚合間隔,以幫助減少 lambda 調用並降低該功能的成本影響。
-
趨勢科技 建議使用文字格式來記錄您的 VPC 流量日誌,以減少 lambda 執行時間並降低該功能的成本影響。