Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Envoyez AWS WAF des logs à Splunk à l'aide AWS Firewall Manager d'Amazon Data Firehose
*Michael Friedenthal, Aman Kaur Gandhi et JJ Johnson, Amazon Web Services*
## Résumé
Historiquement, il existait deux méthodes pour transférer des données dans Splunk : une architecture push ou pull. Une *architecture d'extraction* garantit les données de livraison grâce à de nouvelles tentatives, mais elle nécessite des ressources dédiées dans Splunk pour interroger les données. Les architectures d'extraction ne fonctionnent généralement pas en temps réel en raison du sondage. Une *architecture push* présente généralement une latence plus faible, est plus évolutive et réduit la complexité opérationnelle et les coûts. Cependant, il ne garantit pas la livraison et nécessite généralement des agents.
L'intégration de Splunk à Amazon Data Firehose fournit des données de streaming en temps réel à Splunk via un collecteur d'événements HTTP (HEC). Cette intégration offre les avantages des architectures push et pull : elle garantit la livraison des données par le biais de nouvelles tentatives, se fait en temps quasi réel et présente une faible latence et une faible complexité. Le HEC envoie rapidement et efficacement des données via HTTP ou HTTPS directement à Splunk. HECs sont basés sur des jetons, ce qui élimine le besoin de coder en dur les informations d'identification dans une application ou dans les fichiers de support.
Dans une AWS Firewall Manager politique, vous pouvez configurer la journalisation de l'ensemble du trafic ACL AWS WAF Web de tous vos comptes, puis utiliser un flux de diffusion Firehose pour envoyer ces données de journal à Splunk à des fins de surveillance, de visualisation et d'analyse. Cette solution offre les avantages suivants :
+ Gestion et journalisation centralisées du trafic ACL AWS WAF Web sur tous vos comptes
+ Intégration de Splunk avec un seul Compte AWS
+ Capacité de mise à l’échelle
+ Livraison en temps quasi réel des données du journal
+ Optimisation des coûts grâce à l'utilisation d'une solution sans serveur, afin que vous n'ayez pas à payer pour les ressources inutilisées.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS qui fait partie d'une organisation dans AWS Organizations.
+ Vous devez disposer des autorisations suivantes pour activer la journalisation avec Firehose :
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
+ AWS WAF et son site Web ACLs doit être configuré. Pour obtenir des instructions, voir [Commencer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html).
+ AWS Firewall Manager doit être configuré. Pour obtenir des instructions, reportez-vous à la section [AWS Firewall Manager Conditions préalables](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html).
+ Les politiques de sécurité de Firewall Manager pour AWS WAF doivent être configurées. Pour obtenir des instructions, voir [Commencer à utiliser AWS Firewall ManagerAWS WAF les politiques](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ Splunk doit être configuré avec un point de terminaison HTTP public accessible par Firehose.
**Limites**
+ Ils Comptes AWS doivent être gérés dans une seule organisation en AWS Organizations.
+ L'ACL Web doit se trouver dans la même région que le flux de diffusion. Si vous capturez des logs pour Amazon CloudFront, créez le flux de diffusion Firehose dans la région USA Est (Virginie du Nord),. `us-east-1`
+ Le module complémentaire Splunk pour Firehose est disponible pour les déploiements payants de Splunk Cloud, les déploiements distribués de Splunk Enterprise et les déploiements Splunk Enterprise en instance unique. Ce module complémentaire n'est pas pris en charge pour les déploiements d'essai gratuits de Splunk Cloud.
## Architecture
**Pile technologique cible**
+ Firewall Manager
+ Firehose
+ Amazon Simple Storage Service (Amazon S3)
+ AWS WAF
+ Splunk
**Architecture cible**
L'image suivante montre comment utiliser Firewall Manager pour enregistrer toutes les AWS WAF données de manière centralisée et les envoyer à Splunk via Firehose.
1. Le AWS WAF Web ACLs envoie les données du journal du pare-feu à Firewall Manager.
1. Firewall Manager envoie les données du journal à Firehose.
1. Le flux de diffusion Firehose transmet les données du journal à Splunk et à un compartiment S3. Le compartiment S3 fait office de sauvegarde en cas d'erreur dans le flux de diffusion Firehose.
**Automatisation et évolutivité**
Cette solution est conçue pour évoluer et s'adapter à tous les AWS WAF sites ALCs Web de l'organisation. Vous pouvez configurer tous les sites Web ACLs pour utiliser la même instance Firehose. Toutefois, si vous souhaitez configurer et utiliser plusieurs instances de Firehose, vous le pouvez.
## Outils
**Services AWS**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)est un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu pour l'ensemble de vos comptes et applications dans AWS Organizations.
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) vous permet de diffuser des [données de streaming](https://aws.amazon.com/streaming-data/) en temps réel vers d'autres Services AWS points de terminaison HTTP personnalisés et vers des points de terminaison HTTP appartenant à des fournisseurs de services tiers pris en charge, tels que Splunk.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)est un pare-feu d'applications Web qui vous aide à surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources protégées de votre application Web.
**Autres outils**
+ [Splunk](https://docs.splunk.com/Documentation) vous aide à surveiller, visualiser et analyser les données des journaux.
## Épopées
### Configurer Splunk
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Installez l'application Splunk pour AWS. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Administrateur de sécurité, administrateur Splunk |
| Installez le module complémentaire pour AWS WAF. | Répétez les instructions précédentes pour installer le **module complémentaire AWS Web Application Firewall** pour Splunk. | Administrateur de sécurité, administrateur Splunk |
| Installez et configurez le module complémentaire Splunk pour Firehose. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Administrateur de sécurité, administrateur Splunk |
### Création du flux de diffusion Firehose
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Accordez à Firehose l'accès à une destination Splunk. | Configurez la politique d'accès qui permet à Firehose d'accéder à une destination Splunk et de sauvegarder les données du journal dans un compartiment S3. Pour plus d'informations, consultez [Accorder à Firehose l'accès à une destination Splunk](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-splunk). | Administrateur de sécurité |
| Créez un flux de diffusion Firehose. | Dans le compte ACLs pour lequel vous gérez le Web AWS WAF, créez un flux de diffusion dans Firehose. Vous devez disposer d'un rôle IAM lorsque vous créez un flux de diffusion. Firehose assume ce rôle IAM et accède au compartiment S3 spécifié. Pour obtenir des instructions, consultez [la section Création d'un flux de diffusion](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html). Notez ce qui suit :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html)
Répétez ce processus pour chaque jeton que vous avez configuré dans le collecteur d'événements HTTP. | Administrateur de sécurité |
| Testez le flux de diffusion. | Testez le flux de diffusion pour vérifier qu'il est correctement configuré. Pour obtenir des instructions, consultez la section [Tester en utilisant Splunk comme destination](https://docs.aws.amazon.com/firehose/latest/dev/test-drive-firehose.html#test-drive-destination-splunk) dans la documentation de Firehose. | Administrateur de sécurité |
### Configurer Firewall Manager pour enregistrer les données
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez les politiques de Firewall Manager. | Les politiques de Firewall Manager doivent être configurées pour activer la journalisation et pour transférer les journaux vers le flux de diffusion Firehose approprié. Pour plus d'informations et d'instructions, voir [Configuration de la journalisation pour une AWS WAF politique](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config). | Administrateur de sécurité |
## Ressources connexes
**AWS resources**
+ [Journalisation du trafic ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) (AWS WAF documentation)
+ [Configuration de la journalisation pour une AWS WAF politique](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config) (AWS WAF documentation)
+ [Tutoriel : Envoyer des journaux de flux VPC à Splunk à l'aide d'Amazon Data Firehose (documentation Firehose](https://docs.aws.amazon.com/firehose/latest/dev/vpc-splunk-tutorial.html))
+ [Comment transférer les journaux de flux VPC vers Splunk à l'aide d'Amazon Data Firehose ?](https://aws.amazon.com/premiumsupport/knowledge-center/push-flow-logs-splunk-firehose/) (Centre de AWS connaissances)
+ [Boostez l'ingestion de données dans Splunk à l'aide d'Amazon Data Firehose](https://aws.amazon.com/blogs/big-data/power-data-ingestion-into-splunk-using-amazon-kinesis-data-firehose/)AWS (article de blog)
**Documentation Splunk**
+ [Module complémentaire Splunk pour Amazon Data Firehose](https://docs.splunk.com/Documentation/AddOns/released/Firehose/About)