アマゾン ウェブ サービスプロトコルと CloudWatch ログを使用した Amazon AWS ルート 53 ログソースの設定
パブリック DNS クエリ ログの構成
JSA でログ・ソースを追加する前に、DNS 照会のロギングを構成する必要があります。
リゾルバークエリロギングの設定
AWS マネジメントコンソール でのアイデンティティおよびアクセス管理 (IAM) ユーザーの作成
Amazon 管理者はユーザーを作成し、AWS マネジメントコンソール でそのユーザーに s3:listBucket および s3:getObject アクセス許可を適用する必要があります。その後、JSA ユーザーは JSA でログ・ソースを作成できます。
最低限必要なアクセス許可は、 s3:listBucket と s3:getObject です。必要に応じて、他のアクセス許可をユーザーに割り当てることができます。
サンプルポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::<bucket_name>", "arn:aws:s3:::<bucket_name>/AWSLogs/<AWS_account_number>/<DSM_name>/us-east-1/*" ] } ] }
バケットオペレーションに関連するアクセス許可の詳細については、 AWS ドキュメントウェブサイトを参照してください。
- AWS マネジメントコンソール に管理者としてログインします。
- [サービス] をクリックします。
- リストから [IAM] を選択します。
- [ユーザー] > [ユーザーの追加] をクリックします。
- Amazon AWS IAM ユーザーを作成し、AmazonS3ReadOnlyAccess ポリシーを適用します。
AWS ユーザーアカウントのセキュリティ認証情報の設定
JSA でログソースを設定する前に、AWS ユーザーアカウントのアクセスキーとシークレットアクセスキーの値が必要です。
JSA でログを取得するための Amazon CloudWatch ログでのロググループの作成
Amazon AWS ルート 53 のアマゾン ウェブ サービスのログソースパラメータ
Amazon CloudWatch ログから AWS Route 53 ログを収集する場合は、アマゾン ウェブ サービスプロトコルを使用して JSA コンソールにログソースを追加します。
アマゾン ウェブ サービス プロトコルを使用する場合、構成する必要がある特定のパラメーターがあります。
次の表では、Amazon AWS ルート 53 からアマゾン ウェブ サービスのイベントを収集するために特定の値を必要とするパラメータについて説明します。
パラメーター |
値 |
---|---|
ログ・ソース・タイプ |
Amazon AWS Route 53 |
プロトコル設定 |
アマゾン ウェブ サービス |
認証方法 |
アクセスキーID/シークレットキー どこからでも使用できる標準認証。 EC2 インスタンス IAM ロール JSA マネージドホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM ロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストでのみ機能します。 |
アクセスキー |
AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたアクセスキー ID。 [アクセスキー ID / シークレットキー] または [IAM ロールを引き受ける] を選択した場合は、[アクセスキー] パラメータが表示されます。 |
秘密鍵 |
AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたシークレットキー。 [アクセスキー ID / シークレットキー] または [IAM ロールを引き受ける] を選択した場合は、[シークレットキー] パラメータが表示されます。 |
IAM ロールを引き受ける |
このオプションを有効にするには、アクセスキーまたは EC2 インスタンスの IAM ロールで認証します。その後、アクセス用の IAM ロールを一時的に引き受けることができます。 |
ロール ARN を引き受ける |
引き受けるロールの完全な ARN。「arn:」で始まる必要があり、先頭または末尾のスペース、または ARN 内のスペースを含めることはできません。 [IAM ロールを引き受ける] を有効にした場合は、[ロールを引き受ける ARN] パラメータが表示されます。 |
ロールセッション名を引き受ける |
引き受けるロールのセッション名。デフォルト QRadarAWSSessionは です。変更する必要がない場合は、デフォルトのままにします。このパラメーターには、大文字と小文字の英数字、アンダースコア、または次のいずれかの文字のみを含めることができます: =,.@- [IAM ロールを引き受ける] を有効にした場合は、[ロールのセッション名を引き受ける] パラメータが表示されます。 |
地域 |
ログを収集するアマゾン ウェブ サービスに関連付けられている各リージョンを切り替えます。 |
AWSのサービス |
[AWS のサービス] リストから、[CloudWatch ログ] を選択します。 |
ロググループ |
ログを収集する Amazon CloudWatch のロググループの名前。
メモ:
1 つのログソースが、一度に 1 つのロググループから CloudWatch ログ を収集します。複数のロググループからログを収集する場合は、ロググループごとに個別のログソースを作成します。 |
CloudWatch アドバンスオプションを有効にする |
次のオプションの詳細構成値を有効にします。それ以外の場合は、デフォルト値が使用されます。 ログストリーム (オプション)ロググループ内のログストリームの名前。ロググループ内のすべてのログストリームからログを収集する場合は、このフィールドを空白のままにします。 フィルター パターン (オプション)収集されたイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが CloudWatch ログから収集されます。フィルター パターン値として ACCEPT を入力すると、次の例に示すように、ACCEPT という単語を含むイベントのみが収集されます。 {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0} イベント遅延 データ収集の遅延 (秒単位)。 その他の地域 廃止。代わりにリージョンを使用してください。 |
オリジナルイベントを抽出 |
CloudWatch ログに追加された元のイベントのみを転送します。 CloudWatch ログは、受信したイベントを追加のメタデータでラップします。CloudWatch Logs を介して追加のストリームメタデータなしで AWS に送信された元のイベントのみを収集する場合は、このオプションを選択します。 元のイベントは、CloudWatch ログから抽出されたメッセージキーの値です。次の CloudWatch Logs イベントの例は、強調表示されたテキストで CloudWatch Logs から抽出された元のイベントを示しています。 {LogStreamName: 123456786_CloudTrail_useast- 2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity": {"type":"IAMUser","principalId":"AAAABBBCCCDD DBBBCCC","arn":"arn:aws:iam::1234567890:user/ <username>","accountId":"1234567890","accessK eyId":"AAAABBBBCCCCDDDD","userName":"User- Name","sessionContext":{"attributes": {"mfaAuthenticated":"false","creationDate":"2 017-09-18T13:22:10Z"}},"invokedBy":"signin.am azonaws.com"},"eventTime":"2017-09-18T14:10:1 5Z","eventSource":"cloudtrail.amazonaws.com", "eventName":"DescribeTrails","awsRegion":"useast- 1","sourceIPAddress":"192.0.2.1","userAg ent":"signin.amazonaws.com","requestParameter s": {"includeShadowTrails":false,"trailNameList": []},"responseElements":null,"requestID":"11b1 a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a491 4e00-1111-491d-bbbba0dd3845b302"," eventType":"AwsApiCall","recip ientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333} |
ゲートウェイ・ログ・ソースとして使用 |
イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。 「 ゲートウェイ・ログ・ソースとして使用 」を選択せず、「 ログ・ソース識別子 パターン」を構成しない場合、JSA はイベントを不明な汎用ログ・ソースとして受信します。 |
ログ・ソース識別パターン |
「ゲートウェイ・ログ・ソースとして使用」を選択した場合は、カスタム・ログ・ソース ID を定義できます。このオプションは、処理中のイベント、および該当する場合に自動的にディスカバーされるログ・ソースに対して定義できます。ログ・ソース識別パターンを構成しない場合、JSA はイベントを不明の汎用ログ・ソースとして受信します。 キーと値のペアを使用して、カスタム・ログ・ソース識別子を定義します。キーは識別子フォーマット文字列で、これは結果のソースまたはオリジン値です。値は、現在のペイロードの評価に使用される関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。 複数のキーと値のペアを定義するには、各パターンを新しい行に入力します。複数のパターンは、リストされている順序で評価されます。一致するものが見つかると、カスタムのログ・ソース識別子が表示されます。 次の例は、複数のキーと値のペア関数を示しています。 パターン VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK) イベント {LogStreamName:LogStreamTest,Timestamp: 0,Message:ACCEPT OK,IngestionTime: 0,EventId:0} 結果のカスタム・ログ・ソース ID
|
プロキシを使用する |
JSAがプロキシを使用してアマゾン ウェブ サービスにアクセスする場合は、このオプションを選択します。 プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを構成します。 プロキシが認証を必要としない場合は、 プロキシIPまたはホスト名 フィールドを設定します。 |
EPSスロットル |
1 秒あたりのイベントの最大数 (EPS) の上限。デフォルトは 5000 です。 「ゲートウェイ・ログ・ソースとして使用」オプションが選択されている場合、この値はオプションです。 [EPSスロットル]パラメーター値を空白のままにすると、JSAはEPS制限を適用しません。 |
アマゾン ウェブ サービス プロトコルの詳細については、「 アマゾン ウェブ サービス プロトコルの設定オプション」を参照してください。