Amazon Web Services プロトコルの構成オプション

Amazon Web Services (AWS) プロトコルは、AWS CloudWatch のログ、Amazon Kinesis のデータ・ストリーム、および Amazon Simple Queue Service (SQS) メッセージを収集する IBM QRadar のアウトバウンド/アクティブ・プロトコルです。

重要: Amazon Web Services プロトコルには、 QRadar 7.3.1 以降、および IBM QRadar Log Source Management アプリが必要です。

Amazon Web Services プロトコルは、 Amazon Kinesis データ・ストリーム、 AWS CloudWatch ログ、または Amazon Simple Queue Service (SQS)のいずれかで使用できます。

Amazon Kinesis データ・ストリーム

以下の表には、Amazon Web Services プロトコルを使用して Amazon Kinesis データ・ストリームを収集するためのプロトコル固有のパラメーターの説明が示されています。

表 1. Amazon Kinesis データ・ストリームの Amazon Web Services ログ・ソース・パラメーター
パラメーター	説明
プロトコル構成	「プロトコル構成」リストから「Amazon Web Services」を選択します。
認証方式	アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key) どの場所からでも使用できる標準認証。 EC2 インスタンス IAM ロール (EC2 Instance IAM Role) QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM 役割が使用されます。鍵は必要ありません。この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
アクセス・キー	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成されたアクセス・キー ID。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「アクセス・キー (Access Key)」パラメーターが表示されます。
秘密鍵	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成された秘密鍵。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「秘密鍵 (Secret Key)」パラメーターが表示されます。
IAM ロールの指定	アクセス・キーまたは EC2 インスタンス IAM ロールで認証するには、このオプションを有効にします。これにより、アクセス用の IAM ロールを一時的に指定することができます。
ロール ARN の指定 (assume Role ARN)	指定するロールのフル ARN。先頭は `arn:` でなければならず、先頭や末尾にスペースや ARN 内のスペースを含めることはできません。「IAM ロールの指定」を有効にすると、「ロール ARN の指定 (assume Role ARN)」パラメーターが表示されます。
ロール・セッション名を想定	指定するロールのセッション名。デフォルトは `QRadarAWSSession`です。変更する必要がない場合は、デフォルトのままにしてください。このパラメーターで使用できる文字は、英数字の大文字と小文字、アンダースコアー、および `=,.@-` のみです。「IAM ロールの指定」を有効にすると、「ロール・セッション名の指定 (Assume Role Session Name)」パラメーターが表示されます。
ロール外部 ID を想定	「ロール外部 ID を想定」は、別のアカウントのロールを引き受けるために必要なオプションの ID です。役割が属するアカウント管理者から外部 ID が提供された場合は、その値を「役割外部 ID を想定」パラメーターに挿入します。この値には、ストリング、パスフレーズ、GUID、またはアカウント番号のいずれかを指定できます。詳しくは、 AWS の資料「 Using an external ID for third-Party access」を参照してください。
リージョン	ログの収集元の Amazon Web Service に関連付けられている各リージョンを切り替えます。
AWS サービス	「AWS サービス」リストから、「Kinesis データ・ストリーム (Kinesis Data Streams)」を選択します。
Kinesis データ・ストリーム (Kinesis Data Streams)	データの取り込み元の Kinesis データ・ストリーム。
Kinesis 拡張オプションを有効にする (Enable Kinesis Advanced Options)	以下のオプションの拡張構成値を有効にします。拡張オプション値は、このオプションが選択されている場合にのみ使用されます。それ以外の場合は、デフォルト値が使用されます。ストリームの初期位置 (Initial Position in Stream) このオプションは、新規に構成されたログ・ソースでプルするデータを制御します。使用可能な最新のデータをプルするには、「最新」を選択します。使用可能な最も古いデータをプルするには、「水平トリム (Trim Horizon)」を選択します。 Kinesis ワーカー・スレッド数 (Kinesis Worker Thread Count) Kinesis データ・ストリームの処理に使用するワーカー・スレッドの数。各ワーカー・スレッドは、レコード・サイズとシステム負荷に応じて 1 秒あたり約 10000 から 20000 イベントを処理できます。ログ・ソースがストリーム内の新規データを処理できない場合は、ここでスレッドの数を最大 16 まで増やすことができます。許可される範囲は 1 から 16 です。デフォルト値は 2 です。チェックポイント間隔 (Checkpoint Interval) データ・シーケンス番号のチェックポイントを指定する間隔 (秒単位)。 Kinesis データ・ストリームのシャードからの各レコードには、シーケンス番号があります。位置のチェックポイントを指定すると、処理が失敗した場合やサービスが再始動した場合に、このシャードは同じ時点から処理を再開できます。この間隔を頻繁にするほど、データの重複は減少しますが、Amazon Dynamo DB の使用量が増加します。許可される範囲は 1 から 3600 秒です。デフォルトは 10 秒です。 Kinesis アプリケーション (Kinesis Application) このログ・ソースが Kinesis データ・ストリームのすべての使用可能なシャードのデータをコンシュームするようにするには、このオプションをブランクのままにします。複数のイベント・プロセッサーの複数のログ・ソースで、損失や重複なしにログの取り込みを拡大するには、それらのログ・ソースで共通の Kinesis アプリケーションを使用します (例: ProdKinesisConsumers)。区画 (Partition) パーティション名を指定して Kinesis データ・ストリームの特定のパーティションからデータを収集するには、このオプションを選択します。
元のイベントの抽出 (Extract Original Event)	Kinesis データ・ストリームに追加された元のイベントのみを転送します。 Kinesis ログは、受信したイベントを追加のメタデータでラップします。 AWS に送信された元のイベントのみを収集し、Kinesis での追加のストリーム・データは不要な場合は、このオプションを選択します。元のイベントは、Kinesis ログから抽出されるメッセージ・キーの値です。次の Kinesis ログ・イベントの例では、Kinesis ログから抽出された元のイベントが強調表示されたテキストで示されています。 {"owner":"123456789012","subscriptionFilters":["allEvents"], "logEvents":[{"id":"35093963143971327215510178578576502306458824699048362100", "message":"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\", \"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role\/CVDevABRoleToBeAssumed\/test_visibility_session\", \"accountId\":\"123456789012\",\"accessKeyId\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\", \"arn\":\"arn:aws:iam::123456789012:role\/CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\", \"userName\":\"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":{\"mfaAuthenticated\":\"false\", \"creationDate\":\"2019-11-13T17:01:54Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudtrail.amazonaws.com\", \"eventName\":\"DescribeTrails\",\"awsRegion\":\"ap-northeast-1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":null,\"responseElements\":null, \"requestID\":\"41e62e80-b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"123456789012\"}","timestamp":1573667733143}],"messageType":"DATA_MESSAGE","logGroup":"CloudTrail\/DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)	収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。このオプションを選択すると、オプションでログ・ソース ID パターンを使用して、処理中のイベントのカスタムログ・ソース IDを定義できます。
ログ・ソース ID パターン (Log Source Identifier Pattern)	ゲートウェイ・ログ・ソースとして使用を選択した場合は、処理中のイベントのカスタム・ログ・ソース ID と、該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義できます。ログ・ソース ID パターンを構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受け取ります。カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。各パターンを新しい行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。次の例では複数のキーと値のペアの機能を示します。パターン `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` イベント `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` 結果としてのカスタム・ログ・ソース ID VPC-ACCEPT-OK
予測解析を使用	このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
プロキシーの使用 (Use Proxy)	QRadar がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。プロキシーが認証を必要とする場合、「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。
EPS スロットル	QRadar が取り込む 1 秒当たりのイベントの最大数。データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。デフォルトは 5000 です。

注： Kinesis Data Streamsからログを使用する場合、 DynamoDB テーブルを使用して、各コンシューマーの位置を永続化します。

必要なテーブルが存在しない場合は、以下の命名規則でテーブルが自動的に作成される：

Kinesis詳細オプションでKinesisアプリケーションが設定されていない場合、自動生成されたテーブル名QRadarApplicationXXXは、XXXが設定されたログソースインスタンスの内部値に関連する場合に使用される。
Kinesisアプリケーションが指定されている場合、テーブル名はその値を取ります。

また、自動作成されたテーブルは、10リード・キャパシティ・ユニットおよび10ライト・キャパシティ・ユニットのプロビジョンド・キャパシティ・モードで設定され、オートスケーリングは無効になっている。これらの値をスループットやコスト要件に合わせて更新したい場合は、 AWS Consoleのテーブル上でEdit Capcityアクションを使用することで行うことができます。

DynamoDB AWS 管理者が希望する場合は、あらかじめ必要なパラメータを指定してテーブルを作成することもできます。その場合は、Kinesis 詳細オプションで Kinesis アプリケーションの値を手動で指定し、それに一致するテーブル名を作成します。テーブルを手動で作成している場合、 DynamoDB:CreateTable のパーミッションがIAMパーミッションのリストから漏れている可能性があります。 QRadar®

AWS CloudWatch ログ

以下の表には、Amazon Web Services プロトコルを使用して Amazon CloudWatch ログを収集するためのプロトコル固有のパラメーターの説明が示されています。

表 2. AWS CloudWatch ログの Amazon Web Services ログ・ソース・パラメーター
パラメーター	説明
プロトコル構成	「プロトコル構成」リストから「Amazon Web Services」を選択します。
認証方式	アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key) どの場所からでも使用できる標準認証。 EC2 インスタンス IAM ロール (EC2 Instance IAM Role) QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM 役割が使用されます。鍵は必要ありません。この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
アクセス・キー	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成されたアクセス・キー ID。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「アクセス・キー (Access Key)」パラメーターが表示されます。
秘密鍵	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成された秘密鍵。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「秘密鍵 (Secret Key)」パラメーターが表示されます。
IAM ロールの指定	このオプションを有効にするには、アクセス・キーまたは EC2 インスタンスの IAM ロールを使用して認証を行います。これにより、アクセス用の IAM ロールを一時的に指定することができます。
ロール ARN の指定 (assume Role ARN)	指定するロールのフル ARN。先頭は `arn:` でなければならず、先頭や末尾にスペースや ARN 内のスペースを含めることはできません。「IAM ロールの指定」を有効にすると、「ロール ARN の指定 (assume Role ARN)」パラメーターが表示されます。
ロール・セッション名を想定	指定するロールのセッション名。デフォルトは `QRadarAWSSession`です。変更する必要がない場合は、デフォルトのままにしてください。このパラメーターで使用できる文字は、英数字の大文字と小文字、アンダースコアー、および `=,.@-` のみです。「IAM ロールの指定」を有効にすると、「ロール・セッション名の指定 (Assume Role Session Name)」パラメーターが表示されます。
ロール外部 ID を想定	「ロール外部 ID を想定」は、別のアカウントのロールを引き受けるために必要なオプションの ID です。役割が属するアカウント管理者から外部 ID が提供された場合は、その値を「役割外部 ID を想定」パラメーターに挿入します。この値には、ストリング、パスフレーズ、GUID、またはアカウント番号のいずれかを指定できます。詳細については、 AWS ドキュメントサードパーティ・アクセスのための外部IDの使用を参照のこと。
リージョン	ログの収集元の Amazon Web Service に関連付けられている各リージョンを切り替えます。
AWS サービス	「AWS サービス」リストから、「CloudWatch ログ」を選択します。
ログ・グループ	ログを収集する Amazon CloudWatch 内のログ・グループの名前。ヒント: 単一のログ・ソースが、一度に 1 つのログ・グループから CloudWatch ログを収集します。複数のログ・グループからログを収集する場合は、ログ・グループごとに別個のログ・ソースを作成します。
CloudWatch 拡張オプションを有効にする (Enable CloudWatch Advanced Options)	以下のオプションの拡張構成値を有効にします。拡張オプション値は、このオプションが選択されている場合にのみ使用されます。それ以外の場合は、デフォルト値が使用されます。ログ・ストリーム (Log Stream) ログ・グループ内のログ・ストリームの名前。ログ・グループ内のすべてのログ・ストリームからログを収集する場合は、このフィールドをブランクのままにします。フィルター・パターン (Filter Pattern) 収集されたイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが、CloudWatch ログから収集されます。次の例に示すように「フィルター・パターン (Filter Pattern)」値に ACCEPT を入力した場合、ACCEPT という単語を含むイベントのみが収集されます。 `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` イベント遅延 (Event Delay) データ収集の遅延秒数。その他のリージョン (Other Region(s)) 非推奨です。代わりに「地域」を使用してください。
元のイベントの抽出 (Extract Original Event)	CloudWatch ログに追加された元のイベントのみを転送します。 CloudWatch ログは、受信したイベントを追加のメタデータでラップします。 AWS に送信された元のイベントのみを収集し、CloudWatch での追加のストリーム・データは不要な場合は、このオプションを選択します。元のイベントは、CloudWatch ログから抽出されるメッセージ・キーの値です。次の CloudWatch ログ・イベントの例では、CloudWatch ログから抽出された元のイベントが強調表示されたテキストで示されています。 {LogStreamName: 123456786_CloudTrail_us-east-2, Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type": "IAMUser","principalId":"AAAABBBCCCDDDBBBCCC", "arn":"arn:aws:iam::1234567890:user/<username>", "accountId":"1234567890","accessKeyId": "AAAABBBBCCCCDDDD","userName":"User-Name", "sessionContext":{"attributes": {"mfaAuthenticated":"false","creationDate": "2017-09-18T13:22:10Z"}},"invokedBy": "signin.amazonaws.com"},"eventTime": "2017-09-18T14:10:15Z","eventSource": "cloudtrail.amazonaws.com","eventName": "DescribeTrails","awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.1","userAgent": "signin.amazonaws.com","requestParameters": {"includeShadowTrails":false,"trailNameList": []},"responseElements":null,"requestID": "11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID": "a4914e00-1111-491d-bbbb-a0dd3845b302", "eventType":"AwsApiCall","recipientAccountId": "1234567890"},IngestionTime: 1505744407506, EventId: 335792223611111122479126672222222513333}
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)	収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。このオプションを選択すると、オプションでログ・ソース ID パターンを使用して、処理中のイベントのカスタムログ・ソース IDを定義できます。
ログ・ソース ID パターン (Log Source Identifier Pattern)	ゲートウェイ・ログ・ソースとして使用を選択した場合は、処理中のイベントのカスタム・ログ・ソース ID と、該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義できます。ログ・ソース ID パターンを構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受け取ります。カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。各パターンを新しい行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。次の例では複数のキーと値のペアの機能を示します。パターン `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` イベント `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` 結果としてのカスタム・ログ・ソース ID VPC-ACCEPT-OK
予測解析を使用	このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
プロキシーの使用 (Use Proxy)	QRadar がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。プロキシーが認証を必要とする場合、「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。
EPS スロットル	QRadar が取り込む 1 秒当たりのイベントの最大数。データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。デフォルトは 5000 です。

Amazon Simple Queue Service (SQS)

以下の表には、Amazon Web Services プロトコルを使用して Amazon SQS ログ・ソースを収集するためのプロトコル固有のパラメーターの説明が示されています。

表 3. Amazon SQS の Amazon Web Services ログ・ソース・パラメーター
パラメーター	説明
プロトコル構成	「プロトコル構成」リストから「Amazon Web Services」を選択します。
認証方式	アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key) どの場所からでも使用できる標準認証。 EC2 インスタンス IAM ロール (EC2 Instance IAM Role) QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM 役割が使用されます。鍵は必要ありません。この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
アクセス・キー	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成されたアクセス・キー ID。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「アクセス・キー (Access Key)」パラメーターが表示されます。
秘密鍵	AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成された秘密鍵。「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「秘密鍵 (Secret Key)」パラメーターが表示されます。
IAM ロールの指定	このオプションを有効にするには、アクセス・キーまたは EC2 インスタンスの IAM ロールを使用して認証を行います。これにより、アクセス用の IAM ロールを一時的に指定することができます。
ロール ARN の指定 (assume Role ARN)	指定するロールのフル ARN。先頭は `arn:` でなければならず、先頭や末尾にスペースや ARN 内のスペースを含めることはできません。「IAM ロールの指定」を有効にすると、「ロール ARN の指定 (assume Role ARN)」パラメーターが表示されます。
ロール・セッション名を想定	指定するロールのセッション名。デフォルトは `QRadarAWSSession`です。変更する必要がない場合は、デフォルトのままにしてください。この名前で使用できる文字は、英数字の大文字と小文字、アンダースコアー、および `=,.@-` のみです。「IAM ロールの指定」を有効にすると、「ロール・セッション名の指定 (Assume Role Session Name)」パラメーターが表示されます。
ロール外部 ID を想定	「ロール外部 ID を想定」は、別のアカウントのロールを引き受けるために必要なオプションの ID です。役割が属するアカウント管理者から外部 ID が提供された場合は、その値を「役割外部 ID を想定」パラメーターに挿入します。この値には、ストリング、パスフレーズ、GUID、またはアカウント番号のいずれかを指定できます。詳細については、 AWS ドキュメント第三者アクセス用の外部IDの使用を参照。
リージョン	ログの収集元の Amazon Web Service に関連付けられている各リージョンを切り替えます。
AWS サービス	「AWS サービス」リストから、「SQS キュー」を選択します。
SQS キューの URL (SQS Queue URL)	`https://` から始まる、データのプル元の SQS キューの完全な URL (例: `https://sqs.us-east-2.amazonaws.com/1234567890123/CloudTrail_SQS_QRadar`)。詳しくは Amazon S3 Event Notifications ( https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html ).
元のイベントの抽出 (Extract Original Event)	SQS キューに追加された元のイベントのみを QRadarに転送します。このオプションを選択します。
元のイベントの JSON エレメント (Original Event JSON Element)	このオプションを使用して SQS で元のイベントを抽出する場合、元のイベントは特定の JSON エレメントに含まれている可能性があります。その場合は、元のイベントが含まれている最上位 JSON エレメントの名前を指定する必要があります。このオプションは、そのエレメント内に含まれているデータもすべてアンエスケープします。例えば、`Message` エレメントが使用される場合は、そのルート・エレメントが取得され、必要に応じて、ネストされた JSON がアンエスケープされます。 `{ "Type" : "Notification", "MessageId" : "6d11936e-2361-5dc1-a689-c590f69c73da", "Subject" : "Test Notification", "Message" : "{\"eventVersion\":\"2.1\", \"eventSource\":\"aws:s3\", \"awsRegion\":\"us-east-1\", \"eventTime\":\"2020-04-01T17:47:39.107Z\"}" }` これにより、アンエスケープされたデータは、以下のような抽出された元のイベントとして表示されます。 `{"eventVersion":"2.1", "eventSource":"aws:s3", "awsRegion":"us-east-1", "eventTime":"2020-04-01T17:47:39.107Z"}`
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)	イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。「ゲートウェイ・ログ・ソースとして使用」を選択せず、「ログ・ソース ID パターン」を構成しない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。
ログ・ソース ID パターン (Log Source Identifier Pattern)	「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」を選択した場合は、カスタム・ログ・ソース ID を定義できます。このオプションは、処理するイベントに対して、および該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID に対して定義することができます。ログ・ソース ID パターンを構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受け取ります。カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。各パターンを新しい行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。次の例では複数のキーと値のペアの機能を示します。パターン `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` イベント `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` 結果としてのカスタム・ログ・ソース ID VPC-ACCEPT-OK
予測解析を使用	このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
プロキシーの使用 (Use Proxy)	QRadar がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。プロキシーが認証を必要とする場合、「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。
EPS スロットル	QRadar が取り込む 1 秒当たりのイベントの最大数。データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。デフォルトは 5000 です。