Análisis de flujos de red (VPC Flow Logs)

En AWS puede monitorear el tráfico en la red a través de analizar su metadata usando Logs de flujos de VPC (VPC Flow Logs ), o si necesita hacer análisis del tráfico entero, cuenta con la funcionalidad de espejado de tráfico (Traffic Mirroring ).

Los Security information and event management systems (SIEM) que analizan flujos (como Splunk e IBM QRadar) pueden ingerir los VPC Flow Logs para el análisis dentro de la solución.

Es posible enviarlos a Amazon CloudWatch o Amazon Kinesis Firehose con destino en Amazon S3 , para luego consultarlos usando Athena .

  • Se puede activar en Amazon VPC, una subred o una interfaz de red.
    • Amazon VPC & Subred permite el registro de todas las interfaces de la VPC/subred
  • Cada interfaz de red tiene un flujo de registro único
  • Filtrar el resultado deseado en función de la necesidad
  • Ofrece opciones Todos, Rechazar, Aceptar
  • Colección de datos Sin agente

Arquitectura

VPC Flow Logs

Ejemplo VPC Flow log

VPC Flow Logs

Ejemplo de visualización de Flow Logs

VPC Flow Logs

Para mayor información sobre como construir dicha visualización se recomienda revisar el siguiente Blogpost (En Inglés): How to Visualize and Refine Your Network’s Security by Adding Security Group IDs to Your VPC Flow Logs

Precios

https://aws.amazon.com/es/cloudwatch/pricing/