Amazon VPC フロー・ログ

Amazon VPC (仮想プライベート・クラウド) フロー・ログ用の IBM QRadar 統合は、SQS キューを使用して Amazon S3 バケットから VPC フロー・ログを収集します。

重要: この統合では、Amazon VPC フロー・ログのデフォルト・フォーマットと、バージョン 3、4、または 5 のフィールドを含むすべてのカスタム・フォーマットがサポートされます。 ただし、すべてのバージョン 2 フィールドがカスタム形式に含まれている必要があります。 デフォルト・フォーマットには、以下のフィールドが含まれます。
${version} ${account-id} ${interface-id} ${srcaddr} ${dstadir} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

詳しくは、 Amazon VPC フロー・ログの資料を参照してください。

Amazon VPC フロー・ログを QRadarに統合するには、以下の手順を実行します。
  1. 自動更新が有効になっていない場合、RPM は IBM® サポートウェブサイト (http://www.ibm.com/support) からダウンロードできます。 ご使用の QRadar Consoleに以下の RPM をダウンロードしてインストールします。
    • プロトコル共通 RPM
    • AWS S3 REST API プロトコル RPM
    重要:QRadar ネットワーク・アクティビティー・フローの詳細」ウィンドウの AWS関連の VPC フロー・フィールドをさらに有効にするために RPM をインストールする場合は、以下のサービスを再始動してから表示する必要があります。 プロトコルを機能させるためにサービスを再始動する必要はありません。
    Hostcontext
    ホスト・コンテキストを再始動するには、 QRadar: Hostcontext サービスとサービス再始動の影響 (https://www.ibm.com/support/pages/qradar-hostcontext-service-and-impact-service-restart) を参照してください。
    Tomcat
    コンソールで 「管理」 タブをクリックし、 「拡張」 > Web サーバーの再始動をクリックします。
  2. フロー・ログが S3 バケットにパブリッシュされるように Amazon VPC フロー・ログを構成します。
  3. ステップ 2 で使用した S3 バケットからの ObjectCreated 通知の受信に使用される SQS キューを作成します。
  4. AWS ユーザー・アカウントのセキュリティー資格情報を作成します。
  5. QRadar Consoleで Amazon VPC フロー・ログのログ・ソースを追加します。
    重要: フロー・ログを受信するには、 Flow Processor が使用可能であり、FPM ライセンスを持っている必要があります。 VPC フロー・ログは EPS ライセンスを使用しません。 その他のログ・ソースとは異なり、AWS VPC フロー・ログ・イベントは「ログ・アクティビティー」タブには送信されません。 「ネットワーク・アクティビティー」タブに送信されます。
    重要: VPC フロー・ログ・ログ・ソースがユニバーサル DSM を使用して構成されている場合、イベントは生成されません。 この場合、 「最終イベント」 の時刻状況はブランクのままになります。

    以下の表には、Amazon VPC フロー・ログからイベントを収集するために固有の値を必要とするパラメーターの説明が示されています。

    表 1. Amazon VPC フロー・ログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ カスタム・ログ・ソース・タイプ。
    プロトコル構成 Amazon AWS S3 REST API
    ターゲット・イベント・コレクター このログ・ソースからイベントを受信して解析する Event Collector または Event Processor
    ヒント: この統合は、ターゲットの AWS S3 バケットから Amazon VPC フロー・ログの未加工イベント・ログを収集します。 次に、IPFIX フロー・レコードを生成し、そのレコードを 「VPC フロー宛先ホスト名 (VPC Flow Destination Hostname)」に転送します。 Flow Collector または Flow Processor をターゲット・イベント・コレクターとして使用できるのは、それが Flow CollectorFlow Processor の組み合わせであるか、オールインワン・コンソールである場合のみです。
    ログ・ソース ID

    ログ・ソースの固有名を入力します。

    「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の Amazon VPC フロー・ログのログ・ソースを構成した場合は、識別可能な方法で名前を付けることをお勧めします。 例えば、最初のフロー・ログ・ソースを vpcflowlogs1、2 番目のログ・ソースを vpcflowlogs2 として識別できます。
    認証方式
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    ご使用の管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証用にインスタンスに割り当てられているインスタンス・メタデータの IAM ロールが使用されます。 鍵は必要ありません。 この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
    IAM ロールの指定 (Assume IAM Role) このオプションを有効にするには、アクセス・キーまたは EC2 インスタンスの IAM ロールを使用して認証を行います。 これにより、アクセス用の IAM ロールを一時的に指定することができます。 このオプションは、SQS イベント通知収集方式を使用する場合にのみ使用できます。

    IAM ユーザーの作成と役割の割り当てについて詳しくは、 AWS 管理コンソールでの Identity and Access Management (IAM) ユーザーの作成を参照してください。
    イベント・フォーマット AWS VPC フロー・ログ
    S3 収集方式 SQS イベント通知
    VPC フロー宛先ホスト名 (VPC Flow Destination Hostname) VPC ログを送信する Flow Processor のホスト名または IP アドレス。
    Tip: QRadar が IPFIX フロー トラフィックを受け入れるには、UDP を使用する NetFlow/IPFIX フロー ソースを構成する必要があります。 ほとんどのデプロイメントでは、default_Netflow フロー・ソースを使用し、「VPC フロー宛先ホスト名 (VPC Flow Destination Hostname)」をその管理対象ホストのホスト名に設定できます。

    NetFlow/IPFIX フロー・ソースを使用して構成された管理対象ホストが、以前に構成で選択された「ターゲット・イベント・コレクター」と同じ場合は、「VPC フロー宛先ホスト名 (VPC Flow Destination Hostname)」localhost に設定できます。

    フロー・ソースの作成について詳しくは、 IBM QRadar Administration Guideを参照してください。
    VPC フロー宛先ポート (VPC Flow Destination Port) VPC ログの送信先とする Flow Processor のポート。
    重要: このポートは、 NetFlow フロー・ソースで指定されているモニター・ポートと同じでなければなりません。 default_Netflow フロー・ソースのポートは 2055 です。
    SQS キューの URL (SQS Queue URL) S3 から ObjectCreated イベントに関する通知を受信するようにセットアップされた SQS キューの https:// で始まる完全な URL。
    領域名 SQS キューと S3 バケットに関連付けられたリージョン。

    例: us-east-1、eu-west-1、ap-northeast-3
    詳細オプションを表示 デフォルトは No です。 イベント・データをカスタマイズしたい場合は、はい を選択します。
    ファイル・パターン

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    プルするファイルに一致するファイル・パターンの正規表現を入力します (例: .*?\.json\.gz)。
    ローカル・ディレクトリー (Local Directory)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    ターゲット・イベント・コレクターのローカル・ディレクトリー。 このディレクトリーは、AWS S3 REST API プロトコルがイベントの取得を試行する前に存在している必要があります。
    S3 エンドポイントの URL (S3 Endpoint URL)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    AWS REST API を照会するために使用されるエンドポイント URL。

    エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。 デフォルトは http://s3.amazonaws.com です。
    プロキシーの使用 (Use Proxy)

    QRadar がプロキシーを使用して Amazon Web サービスにアクセスする場合は、 「プロキシーの使用」を有効にします。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
    繰り返し (Recurrence) AWS S3 REST API プロトコルが、新規ファイルの有無を確認して (存在する場合は) 取得するために Amazon クラウド API に接続する頻度。 AWS S3 バケットにアクセスするたびに、バケットを所有するアカウントに対してコストが発生します。 このため、繰り返しの値を小さくするとコストが上昇します。

    新しいイベント・ログ・ファイルの有無を調べるためにリモート・ディレクトリーをスキャンする頻度を決定する時間間隔を入力します。 最小値は 1 分です。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、2H = 2 時間、15 M = 15 分です。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。
  6. 視覚化のために、VPC フロー・ログを IBM QRadar Cloud Visibility アプリケーションに送信するには、以下のステップを実行します。
    1. コンソールで、 「管理」 タブをクリックしてから、 「システム構成」 > 「システム設定」をクリックします。
    2. 「QFlow 設定」メニューをクリックし、「IPFIX 追加フィールドのエンコード」フィールドで、「TLV」または「TLV とペイロード」のいずれかのフォーマットを選択します。
    3. セーブをクリック。
    4. 「管理」タブのメニュー・バーから「すべての構成のデプロイ」をクリックし、変更内容を確認します。
      警告: 完全な構成をデプロイすると、 QRadar サービスが再始動されます。 この間、イベントおよびフローは収集されず、オフェンスも生成されません。
    5. ブラウザーを最新表示します。

Amazon AWS S3 REST API プロトコルの構成について詳しくは、 Amazon AWS S3 REST API プロトコルの構成オプションを参照してください。