Amazon Web Services Protocol と CloudWatch Logs を使用した Amazon AWS Route 53 ログソースの設定
パブリック DNS クエリ ログの構成
JSAにログ・ソースを追加する前に、DNS問合せのロギングを設定する必要があります。
リゾルバー クエリ ロギングの構成
AWS マネジメントコンソール での Identity and Access Management (IAM) ユーザーの作成
Amazon 管理者は、ユーザーを作成し、AWS マネジメントコンソール でそのユーザーに s3:listBucket および s3:getObject アクセス許可を適用する必要があります。その後、JSAユーザーはJSAでログ・ソースを作成できます。
最低限必要なアクセス許可は s3:listBucket と s3:getObject です。必要に応じて、他の権限をユーザーに割り当てることができます。
サンプル ポリシー:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::<bucket_name>",
"arn:aws:s3:::<bucket_name>/AWSLogs/<AWS_account_number>/<DSM_name>/us-east-1/*"
]
}
]
}
バケットオペレーションに関連するアクセス許可の詳細については、 AWS ドキュメントウェブサイトを参照してください。
- AWS マネジメントコンソール に管理者としてログインします。
- [サービス] をクリックします。
- リストから「IAM」を選択します。
- [ユーザー] > [ユーザーの追加] をクリックします。
- Amazon AWS IAM ユーザーを作成し、AmazonS3ReadOnlyAccess ポリシーを適用します。
AWS ユーザーアカウントのセキュリティ認証情報の設定
JSA でログソースを設定する前に、AWS ユーザーアカウントのアクセスキーとシークレットアクセスキーの値が必要です。
Amazon CloudWatch Logs でロググループを作成して JSA でログを取得する
Amazon AWS Route 53 のアマゾン ウェブ サービスログソースパラメータ
Amazon CloudWatch ログから AWS Route 53 ログを収集する場合は、Amazon Web Services プロトコルを使用して JSA コンソールにログソースを追加します。
Amazon Web Services プロトコルを使用する場合、設定する必要がある特定のパラメーターがあります。
次の表では、Amazon AWS Route 53 からアマゾン ウェブ サービス(Amazon Web Services)イベントを収集するために特定の値を必要とするパラメータについて説明します。
| パラメーター |
価値 |
|---|---|
| ログソースの種類 |
Amazon AWS ルート 53 |
| プロトコル設定 |
アマゾン ウェブ サービス |
| 認証方法 |
アクセスキーID/秘密鍵 どこからでも使用できる標準認証。 EC2 インスタンス IAM ロール JSA管理対象ホストがAWS EC2インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられているメタデータのIAMロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストに対してのみ機能します。 |
| アクセスキー |
AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたアクセスキー ID。 [ Access Key ID / 秘密鍵 ] または [ IAM ロールを引き受ける] を選択した場合は、[ Access Key ] パラメータが表示されます。 |
| 秘密鍵 |
AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された秘密鍵。 「 アクセス・キーID/秘密鍵 」または 「IAMロールを引き受ける」を選択した場合は、「 秘密鍵 」パラメータが表示されます。 |
| IAM ロールを引き受ける |
アクセスキーまたは EC2 インスタンスの IAM ロールで認証することで、このオプションを有効にします。その後、アクセスの IAM ロールを一時的に引き受けることができます。 |
| ロール ARN の引き受け |
引き受けるロールの完全な ARN。「arn:」で始まる必要があり、先頭または末尾のスペース、または ARN 内にスペースを含めることはできません。 [Assume an IAM Role] を有効にした場合は、[Assume Role ARN] パラメータが表示されます。 |
| ロールセッション名を引き受ける |
引き受けるロールのセッション名。デフォルトは QRadarAWSSessionです。変更する必要がない場合は、デフォルトのままにしておきます。このパラメーターに使用できるのは、大文字と小文字の英数字、アンダースコア、または =,.@- のいずれかの文字のみです。 [Assume an IAM Role] を有効にした場合は、[Assume Role Session Name] パラメータが表示されます。 |
| 地域 |
ログを収集するアマゾン ウェブ サービスに関連付けられている各リージョンを切り替えます。 |
| AWS のサービス |
[AWS サービス] リストから [CloudWatch Logs] を選択します。 |
| ログ・グループ |
ログを収集する Amazon CloudWatch のロググループの名前。
手記:
1 つのログソースは、一度に 1 つのロググループから CloudWatch Logs を収集します。複数のログ・グループからログを収集する場合は、ログ・グループごとに個別のログ・ソースを作成します。 |
| CloudWatch 詳細オプションを有効にする |
次のオプションの詳細設定値を有効にします。それ以外の場合は、デフォルト値が使用されます。 ログ ストリーム (オプション)ログ・グループ内のログ ストリームの名前。ログ・グループ内のすべてのログ・ストリームからログを収集する場合は、このフィールドをブランクのままにします。 フィルターパターン (オプション)収集したイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが CloudWatch Logs から収集されます。[フィルタ パターン(Filter Pattern)] の値として「ACCEPT」と入力すると、次の例に示すように、ACCEPT という単語を含むイベントのみが収集されます。 {LogStreamName: LogStreamTest,Timestamp:
0,Message: ACCEPT OK,IngestionTime:
0,EventId: 0} イベント遅延 データ収集の遅延 (秒単位)。 その他の地域 廃止。代わりに [地域] を使用してください。 |
| 元のイベントを抽出 |
CloudWatch Logs に追加された元のイベントのみを転送します。 CloudWatch ログは、受信したイベントを追加のメタデータでラップします。CloudWatch Logs を介して追加のストリームメタデータなしで AWS に送信された元のイベントのみを収集する場合は、このオプションを選択します。 元のイベントは、CloudWatch ログから抽出されたメッセージキーの値です。次の CloudWatch Logs イベントの例は、CloudWatch Logs から抽出された元のイベントを強調表示されたテキストで示しています。 {LogStreamName: 123456786_CloudTrail_useast-
2,Timestamp: 1505744407363, Message:
{"eventVersion":"1.05","userIdentity":
{"type":"IAMUser","principalId":"AAAABBBCCCDD
DBBBCCC","arn":"arn:aws:iam::1234567890:user/
<username>","accountId":"1234567890","accessK
eyId":"AAAABBBBCCCCDDDD","userName":"User-
Name","sessionContext":{"attributes":
{"mfaAuthenticated":"false","creationDate":"2
017-09-18T13:22:10Z"}},"invokedBy":"signin.am
azonaws.com"},"eventTime":"2017-09-18T14:10:1
5Z","eventSource":"cloudtrail.amazonaws.com",
"eventName":"DescribeTrails","awsRegion":"useast-
1","sourceIPAddress":"192.0.2.1","userAg
ent":"signin.amazonaws.com","requestParameter
s":
{"includeShadowTrails":false,"trailNameList":
[]},"responseElements":null,"requestID":"11b1
a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a491
4e00-1111-491d-bbbba0dd3845b302","
eventType":"AwsApiCall","recip
ientAccountId":"1234567890"},IngestionTime:
1505744407506,EventId:
335792223611111122479126672222222513333} |
| ゲートウェイ・ログ・ログソースとして使用 |
イベントにカスタム・ログ・ソース ID を定義しない場合は、このチェック・ボックスをクリアします。 「 ゲートウェイ・ログソースとして使用 」を選択せず、「 ログソース識別子 パターン」を構成しない場合、JSA はイベントを不明な汎用ログ・ソースとして受信します。 |
| ログソース識別子パターン |
「 ゲートウェイ・ログ・ログソースとして使用」を選択した場合は、カスタム・ログ・ソース ID を定義できます。このオプションは、処理中のイベント、および該当する場合はログ・ソースが自動的にディスカバーされるように定義できます。 ログソース識別子パターンを構成しない場合、JSA はイベントを不明な汎用ログソースとして受信します。 キーと値のペアを使用して、カスタム・ログソース識別子を定義します。キーは、結果のソースまたはオリジン値である識別子フォーマット文字列です。値は、現在のペイロードの評価に使用される関連する正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。 新しい行に各パターンを入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログソース識別子が表示されます。 次の例は、複数のキーと値のペア関数を示しています。 パターン VPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)イベント {LogStreamName:LogStreamTest,Timestamp: 0,Message:ACCEPT OK,IngestionTime: 0,EventId:0}結果のカスタム・ログ・ソース ID
|
| プロキシを使用 |
JSAがプロキシを使用してAmazon Web Serviceにアクセスする場合は、このオプションを選択します。 プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。 プロキシが認証を必要としない場合は、[ プロキシ IP またはホスト名(Proxy IP or Hostname )] フィールドを設定します。 |
| EPSスロットル |
1 秒あたりの最大イベント数 (EPS) の上限。デフォルトは 5000 です。 「 ゲートウェイ・ログソースとして使用 」オプションが選択されている場合、この値はオプションです。 [EPS スロットル] パラメーター値を空白のままにすると、JSA によって EPS 制限は課されません。 |
Amazon Web Services プロトコルの詳細については、「 Amazon Web Services Protocol 構成オプション」を参照してください。