SQS キューを使用した QRadar Console での AWS Verified Access ・ログ・ソースの追加

Amazon S3 バケット内の複数のアカウントまたはリージョンから AWS Verified Access ・ログを収集する場合は、 QRadar Console にログ・ソースを追加して、 AWS Verified Access が Amazon AWS S3 REST API プロトコルおよび Simple Queue Service (SQS) キューを使用して QRadar と通信できるようにします。

手順

  1. 以下の表を使用して、Amazon AWS S3 REST API プロトコルと SQS キューを使用する Amazon AWS Verified Access ・ログ・ソースのパラメーターを設定します。
    表 1. Amazon AWS S3 REST API プロトコル・ログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース・タイプ AWS Verified Access
    プロトコル構成 Amazon AWS S3 REST API
    ログ・ソース ID

    ログ・ソースの固有名を入力します。

    「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の AWS Verified Access ・ログ・ソースが構成されている場合は、最初のログ・ソースを awsverifiedaccess1、2 番目のログ・ソースを awsverifiedaccess2、3 番目のログ・ソースを awsverifiedaccess3として識別することができます。
    認証方式
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    IAM ロールの指定
    鍵で認証した後、アクセス用のロールを一時的に指定します。 このオプションは、「S3 収集方式」「SQS イベント通知」を選択した場合にのみ使用可能です。 サポート対象の「S3 収集方式」は、「特定の接頭部の使用 (Use a Specific Prefix)」です。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    ご使用の管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証用としてインスタンスに割り当てられたインスタンス・メタデータからの IAM ロールが使用されます。鍵は必要ありません。 この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
    アクセス・キー ID

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「アクセス・キー ID (Access Key ID)」パラメーターが表示されます。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」。 この値は、AWS S3 バケットにアクセスするために使用される「アクセス・キー ID (Access Key ID)」でもあります。
    秘密鍵

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「秘密鍵 ID (Secret Key ID)」パラメーターが表示されます。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」。 この値は、AWS S3 バケットにアクセスするために使用される「秘密鍵 ID (Secret Key ID)」でもあります。
    イベント・フォーマット 「LINEBYLINE」を選択します。 ログ・ソースは JSON 形式のイベントを取得します。
    S3 収集方式 「SQS イベント通知 (SQS Event Notifications)」を選択します。
    SQS キューの URL (SQS Queue URL)

    S3 から ObjectCreated イベントに関する通知を受信するようにセットアップされた SQS キューの https:// で始まる完全な URL を入力します。
    領域名 SQS キューまたは S3 バケットが含まれているリージョン。

    例: us-east-1、eu-west-1、ap-northeast-3
    ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) 収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。
    ログ・ソース ID パターン (Log Source Identifier Pattern)

    このオプションは、「ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)」」が「はい」に設定されている場合に使用可能です。

    処理中のイベントのカスタム・ログ・ソース ID を定義する場合は、このオプションを使用します。 このフィールドは、カスタム・ログ・ソース ID を定義するためのキーと値のペアを受け入れます。ここで、キーは ID フォーマット・ストリングで、値は関連付けられた正規表現パターンです。 新しい行にパターンを入力することによって、複数のキー値ペアを定義できます。 複数のパターンが使用された場合、一致が見つかり、カスタム・ログ・ソース ID が返されるまで、それらのパターンは順番に評価されます。
    詳細オプションを表示 このオプションは、イベント・データをカスタマイズする場合に選択します。
    ファイル・パターン

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    プルするファイルに一致するファイル・パターンの正規表現を入力します (例: .*?\.json\.gz)。
    ローカル・ディレクトリー (Local Directory)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    ターゲット・イベント・コレクターのローカル・ディレクトリー。 このディレクトリーは、AWS S3 REST API プロトコルがイベントの取得を試行する前に存在している必要があります。
    S3 エンドポイントの URL (S3 Endpoint URL)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    AWS REST API を照会するために使用されるエンドポイント URL。

    エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。 デフォルトは http://s3.amazonaws.com です。
    S3 パス形式アクセスの使用 (Use S3 Path-Style Access)

    パス形式アクセスを使用することを S3 要求に強制します。

    この方法は、AWS によって非推奨になっています。 ただし、他の S3 互換 API を使用する場合に、この方法が必要になることがあります。 例えば、バケット名にピリオド (.)が含まれている場合は、 https://s3.region.amazonaws.com/bucket-name/key-name パス・スタイルが自動的に使用されます。 したがって、このオプションは必須ではありませんが、使用することができます。
    プロキシーの使用 (Use Proxy)

    QRadar がプロキシーを使用して Amazon Web サービスにアクセスする場合は、 「プロキシーの使用」を有効にします。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
    繰り返し (Recurrence) 新しいデータの有無を確認するスキャンのためにポーリングが行われる頻度。

    SQS イベント収集方式を使用している場合、「SQS イベント通知 (SQS Event Notifications)」には最小値の 10(秒) を指定できます。 SQS キューのポーリングはより頻繁に行われる場合があるため、より小さい値を使用できます。

    ディレクトリー接頭部イベント収集方式を使用している場合、「特定の接頭部の使用 (Use a Specific Prefix)」には最小値の 60 (秒) または 1M が指定されます。 AWS S3 バケットに対して listBucket 要求が行われるたびに、そのバケットを所有するアカウントに対して費用が発生するため、「繰り返し (Recurrence)」の値を小さくするほど、費用が増加します。

    新しいデータに対してポーリングが行われる頻度を決定する時間間隔を入力します。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、2H = 2 時間、15M = 15 分、30 = 30 秒です。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

    デフォルトは 5000 です。
  2. QRadar が正しく構成されていることを確認するには、 AWS Config サンプル・イベント・メッセージを参照してください。