アマゾンウェブサービスプロトコルと CloudWatch ログを使用した Amazon AWS ルート 53 ログソースの設定

Amazon CloudWatch ログから AWS Route 53 パブリック DNS クエリログまたはリゾルバークエリログ、あるいはその両方を収集するには、アマゾンウェブサービスプロトコルを使用して JSA コンソールにログソースを追加します。

Amazon CloudWatch Logs でロググループを作成して、JSA でログを取得する

メモ：
パブリック DNS クエリログの場合、ロググループは米国東部 (バージニア北部) リージョンにある必要があります。
AWS CloudWatch ログのロググループにログを送信するように AWS Route 53 を設定します。
- パブリック DNS ログの場合は、パブリック DNS クエリログを構成します
- リゾルバークエリログの場合は、リゾルバークエリロギングを設定します
AWS マネジメントコンソールでアイデンティティとアクセス (IAM) ユーザーを作成する
AWS ユーザーアカウントのセキュリティ認証情報を設定する
アマゾンウェブサービスのログソースパラメータ Amazon AWS ルート 53 の場合

パブリック DNS クエリログの構成

JSA でログ・ソースを追加する前に、DNS 照会のロギングを構成する必要があります。

AWS マネジメントコンソールにログインして、Route 53 コンソールを開きます。
Amazon Route 53 ナビゲーションペインで、[ホストゾーン] を選択します。
関連するホストゾーンを選択します。
[ホストゾーンの詳細] セクションで、[クエリログ記録の設定] をクリックします。
既存のロググループを選択するか、新しいロググループを作成します。

メモ：
ロググループは、米国東部 (バージニア北部) リージョンに存在する必要があります。
アクセス許可に関するアラートが表示された場合は、次のいずれかのトラブルシューティングオプションを選択します。
- リソースポリシーが 10 個ある場合は、制限に達しています。リソースポリシーの 1 つを選択し、[ Edit ] をクリックして Route 53 がロググループにログを書き込めるようにしてから、[ Save] をクリックしてステップ 7 に進みます。
- この設定でクエリログ記録を初めて設定する場合、またはリソースポリシーが 10 個未満の場合は、[ アクセス許可の付与] を選択して CloudWatch ロググループにログを書き込むアクセス許可を Route 53 に付与し、次のステップに進みます。
リソースポリシーが CloudWatch ログロググループと一致することを確認し、Route 53 に CloudWatch にログを発行するアクセス許可がある場合は、[アクセス許可 - オプション] をクリックします。
[作成] をクリックします。

リゾルバークエリロギングの設定

JSA でログソースを追加する前に、AWS マネジメントコンソールでリゾルバークエリログ記録を設定する必要があります。

AWS マネジメントコンソールにログインして、Route 53 コンソールを開きます。
Route 53 ナビゲーションメニューから、[リゾルバー] > [クエリログ記録] を選択します。
リージョンの一覧から、クエリのログ記録構成を作成するリージョンを選択します。

メモ：
選択するリージョンは、クエリを記録する Amazon 仮想プライベートクラウド (VPC) を作成したリージョンと同じである必要があります。VPC が複数のリージョンにある場合は、リージョンごとに少なくとも 1 つのクエリログ記録設定を作成します。
[クエリログの構成] をクリックし、クエリログ構成の名前を入力します。設定名は、コンソールのクエリログ設定のリストに表示されます。
[クエリログの送信先] セクションで、リゾルバーでクエリログを公開する送信先を選択します。JSA では、クエリログの送信先として CloudWatch ログロググループと S3 バケットがサポートされています。
- Amazon AWS S3 REST API を使用している場合は、[ S3 バケット] を選択します。
- アマゾンウェブサービスプロトコルを使用している場合は、[ CloudWatch ログロググループ] を選択します。
VPC をログに記録するには、[クエリをログに記録する VPC] セクションで、[VPC の追加] をクリックします。選択した VPC から発信された DNS クエリがログに記録されます。VPC を選択しない場合、リゾルバーによってクエリはログに記録されません。
[クエリログの構成] をクリックします。

AWS マネジメントコンソールでのアイデンティティおよびアクセス管理 (IAM) ユーザーの作成

Amazon 管理者はユーザーを作成し、AWS マネジメントコンソールでそのユーザーに s3:listBucket および s3:getObject アクセス許可を適用する必要があります。その後、JSA ユーザーは JSA でログ・ソースを作成できます。

最低限必要なアクセス許可は、 s3:listBucket と s3:getObject です。必要に応じて、他のアクセス許可をユーザーに割り当てることができます。

サンプルポリシー:

バケットオペレーションに関連するアクセス許可の詳細については、 AWS ドキュメントウェブサイトを参照してください。

AWS マネジメントコンソールに管理者としてログインします。
[サービス] をクリックします。
リストから [IAM] を選択します。
[ユーザー] > [ユーザーの追加] をクリックします。
Amazon AWS IAM ユーザーを作成し、AmazonS3ReadOnlyAccess ポリシーを適用します。

AWS ユーザーアカウントのセキュリティ認証情報の設定

JSA でログソースを設定する前に、AWS ユーザーアカウントのアクセスキーとシークレットアクセスキーの値が必要です。

IAM コンソールにログインします。
左側のナビゲーションウィンドウから [ユーザー] を選択し、一覧からユーザー名を選択します。
アクセスキーを作成するには、[セキュリティ資格情報] タブをクリックし、[アクセスキー] セクションで [アクセスキーの作成] をクリックします。
キーを含む CSV ファイルをダウンロードするか、キーをコピーして保存します。

ヒント：
[アクセスキー ID] と [シークレットアクセスキー] を保存します。JSA でログ・ソースを構成するときに必要になります。

シークレットアクセスキーは、作成時にのみ表示できます。

JSA でログを取得するための Amazon CloudWatch ログでのロググループの作成

Amazon CloudWatch ログでロググループを作成して、JSA ポーリングでログを使用できるようにする必要があります。

CloudWatch コンソールにログインします。
左側のナビゲーションウィンドウから [ログ] を選択します。
「アクション」>「ログ・グループの作成」をクリックします。
ロググループの名前を入力します。たとえば、CloudTrailAuditLogs.
「ログ・グループの作成」をクリックします。

ロググループとログストリームの操作の詳細については、「https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html」を参照してください

Amazon AWS ルート 53 のアマゾンウェブサービスのログソースパラメータ

Amazon CloudWatch ログから AWS Route 53 ログを収集する場合は、アマゾンウェブサービスプロトコルを使用して JSA コンソールにログソースを追加します。

アマゾンウェブサービスプロトコルを使用する場合、構成する必要がある特定のパラメーターがあります。

次の表では、Amazon AWS ルート 53 からアマゾンウェブサービスのイベントを収集するために特定の値を必要とするパラメータについて説明します。

表 1: Amazon AWS Route 53 DSM のアマゾンウェブサービスのログソースパラメータ
パラメーター	値
ログ・ソース・タイプ	Amazon AWS Route 53
プロトコル設定	アマゾンウェブサービス
認証方法	アクセスキーID/シークレットキーどこからでも使用できる標準認証。 EC2 インスタンス IAM ロール JSA マネージドホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM ロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストでのみ機能します。
アクセスキー	AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたアクセスキー ID。 [アクセスキー ID / シークレットキー] または [IAM ロールを引き受ける] を選択した場合は、[アクセスキー] パラメータが表示されます。
秘密鍵	AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたシークレットキー。 [アクセスキー ID / シークレットキー] または [IAM ロールを引き受ける] を選択した場合は、[シークレットキー] パラメータが表示されます。
IAM ロールを引き受ける	このオプションを有効にするには、アクセスキーまたは EC2 インスタンスの IAM ロールで認証します。その後、アクセス用の IAM ロールを一時的に引き受けることができます。
ロール ARN を引き受ける	引き受けるロールの完全な ARN。「arn:」で始まる必要があり、先頭または末尾のスペース、または ARN 内のスペースを含めることはできません。 [IAM ロールを引き受ける] を有効にした場合は、[ロールを引き受ける ARN] パラメータが表示されます。
ロールセッション名を引き受ける	引き受けるロールのセッション名。デフォルト `QRadarAWSSession`はです。変更する必要がない場合は、デフォルトのままにします。このパラメーターには、大文字と小文字の英数字、アンダースコア、または次のいずれかの文字のみを含めることができます: =,.@- [IAM ロールを引き受ける] を有効にした場合は、[ロールのセッション名を引き受ける] パラメータが表示されます。
地域	ログを収集するアマゾンウェブサービスに関連付けられている各リージョンを切り替えます。
AWSのサービス	[AWS のサービス] リストから、[CloudWatch ログ] を選択します。
ロググループ	ログを収集する Amazon CloudWatch のロググループの名前。メモ： 1 つのログソースが、一度に 1 つのロググループから CloudWatch ログを収集します。複数のロググループからログを収集する場合は、ロググループごとに個別のログソースを作成します。
CloudWatch アドバンスオプションを有効にする	次のオプションの詳細構成値を有効にします。それ以外の場合は、デフォルト値が使用されます。ログストリーム (オプション)ロググループ内のログストリームの名前。ロググループ内のすべてのログストリームからログを収集する場合は、このフィールドを空白のままにします。フィルターパターン (オプション)収集されたイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが CloudWatch ログから収集されます。フィルターパターン値として ACCEPT を入力すると、次の例に示すように、ACCEPT という単語を含むイベントのみが収集されます。 {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0} イベント遅延データ収集の遅延 (秒単位)。その他の地域廃止。代わりにリージョンを使用してください。
オリジナルイベントを抽出	CloudWatch ログに追加された元のイベントのみを転送します。 CloudWatch ログは、受信したイベントを追加のメタデータでラップします。CloudWatch Logs を介して追加のストリームメタデータなしで AWS に送信された元のイベントのみを収集する場合は、このオプションを選択します。元のイベントは、CloudWatch ログから抽出されたメッセージキーの値です。次の CloudWatch Logs イベントの例は、強調表示されたテキストで CloudWatch Logs から抽出された元のイベントを示しています。 {LogStreamName: 123456786_CloudTrail_useast- 2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity": {"type":"IAMUser","principalId":"AAAABBBCCCDD DBBBCCC","arn":"arn:aws:iam::1234567890:user/ <username>","accountId":"1234567890","accessK eyId":"AAAABBBBCCCCDDDD","userName":"User- Name","sessionContext":{"attributes": {"mfaAuthenticated":"false","creationDate":"2 017-09-18T13:22:10Z"}},"invokedBy":"signin.am azonaws.com"},"eventTime":"2017-09-18T14:10:1 5Z","eventSource":"cloudtrail.amazonaws.com", "eventName":"DescribeTrails","awsRegion":"useast- 1","sourceIPAddress":"192.0.2.1","userAg ent":"signin.amazonaws.com","requestParameter s": {"includeShadowTrails":false,"trailNameList": []},"responseElements":null,"requestID":"11b1 a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a491 4e00-1111-491d-bbbba0dd3845b302"," eventType":"AwsApiCall","recip ientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333}
ゲートウェイ・ログ・ソースとして使用	イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。「ゲートウェイ・ログ・ソースとして使用」を選択せず、「ログ・ソース識別子パターン」を構成しない場合、JSA はイベントを不明な汎用ログ・ソースとして受信します。
ログ・ソース識別パターン	「ゲートウェイ・ログ・ソースとして使用」を選択した場合は、カスタム・ログ・ソース ID を定義できます。このオプションは、処理中のイベント、および該当する場合に自動的にディスカバーされるログ・ソースに対して定義できます。ログ・ソース識別パターンを構成しない場合、JSA はイベントを不明の汎用ログ・ソースとして受信します。キーと値のペアを使用して、カスタム・ログ・ソース識別子を定義します。キーは識別子フォーマット文字列で、これは結果のソースまたはオリジン値です。値は、現在のペイロードの評価に使用される関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。複数のキーと値のペアを定義するには、各パターンを新しい行に入力します。複数のパターンは、リストされている順序で評価されます。一致するものが見つかると、カスタムのログ・ソース識別子が表示されます。次の例は、複数のキーと値のペア関数を示しています。パターン `VPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)` イベント `{LogStreamName:LogStreamTest,Timestamp: 0,Message:ACCEPT OK,IngestionTime: 0,EventId:0}` 結果のカスタム・ログ・ソース ID `VPC-ACCEPT-OK`
プロキシを使用する	JSAがプロキシを使用してアマゾンウェブサービスにアクセスする場合は、このオプションを選択します。プロキシで認証が必要な場合は、[ プロキシサーバー]、[プロキシポート]、[プロキシユーザー名]、および [プロキシパスワード] フィールドを構成します。プロキシが認証を必要としない場合は、プロキシIPまたはホスト名フィールドを設定します。
EPSスロットル	1 秒あたりのイベントの最大数 (EPS) の上限。デフォルトは 5000 です。「ゲートウェイ・ログ・ソースとして使用」オプションが選択されている場合、この値はオプションです。 [EPSスロットル]パラメーター値を空白のままにすると、JSAはEPS制限を適用しません。

アマゾンウェブサービスプロトコルの詳細については、「アマゾンウェブサービスプロトコルの設定オプション」を参照してください。

このページの目次

アマゾン ウェブ サービスプロトコルと CloudWatch ログを使用した Amazon AWS ルート 53 ログソースの設定

パブリック DNS クエリ ログの構成