Amazon Web Services プロトコルを使用した Amazon GuardDuty ログ・ソースの構成
Amazon GuardDuty ログを Amazon Cloud Watch グループから収集する場合は、 Amazon Web Services プロトコルを使用して Amazon Guard Duty が QRadar と通信できるように、 IBM® QRadar Console でログ・ソースを構成します。
手順
- 自動更新が有効になっていない場合は、以下に示す RPM の最新バージョンを IBM サポート Web サイト (https://www.ibm.com/support/fixcentral) からダウンロードし、 QRadar
Consoleにインストールしてください。
- プロトコル共通 RPM
- Amazon Web Services プロトコル RPM
- DSMCommon RPM
- Amazon GuardDuty DSM RPM
- AWS Security Hub から AWS CloudWatch ログ・グループにイベントを送信するための Amazon EventBridge ルールを作成および構成します。
- Amazon AWS ユーザー・インターフェースで Amazon Web Services プロトコルを使用する際の Identity and Access (IAM) ユーザーを作成します。
- QRadar®コンソールにAmazon GuardDuty用のログソースを追加します。 以下の表に、Amazon GuardDuty ログを収集するために特定の値を設定する必要のある Amazon Web Services プロトコルのパラメーターを示します。
表 1. Amazon GuardDuty Web Services プロトコルのパラメーター パラメーター 値 ログ・ソース・タイプ Amazon GuardDuty プロトコル構成 Amazon Web Services 認証方式 - アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
- どの場所からでも使用できる標準認証。
- EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
- QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択して、認証のためにインスタンスに割り当てられたメタデータの IAM ロール を使用します。 鍵は必要ありません。注: この方法は、 AWS EC2 コンテナー内で実行される管理対象ホストに対してのみ機能します。
アクセス・キー ID 「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「アクセス・キー ID (Access Key ID)」パラメーターが表示されます。
「アクセス・キー ID (Access Key ID)」は、AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成されています。
セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。秘密アクセス・キー 「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「秘密アクセス・キー (Secret Access Key)」パラメーターが表示されます。
「秘密鍵 (Secret Key)」は、AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成されています。
セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。リージョン ログを収集する Amazon Web Service に関連付けられている各リージョンのチェック・ボックスを選択します。 その他のリージョン ログを収集する Amazon Web Service に関連付けられているすべての追加リージョンの名前を入力します。
複数のリージョンから収集するには、以下の例のようなコンマ区切りリストを使用します。
region1,region2AWS サービス Amazon Web Service の名前。
「AWS サービス」 リストから、 「CloudWatch ログ」を選択します。ログ・グループ ログを収集する Amazon CloudWatch 内のログ・グループの名前。
ヒント: 単一のログ・ソースは、一度に 1 つのログ・グループからのみ CloudWatch ログを収集できます。 複数のログ・グループからログを収集する場合は、ログ・グループごとに別個のログ・ソースを作成します。ログ・ストリーム (オプション) ログの収集元となるログ・グループ内のログ・ストリームの名前。 フィルター・パターン (オプション) 収集されたイベントをフィルタリングするためのパターンを入力します。 このパターンは正規表現フィルターではありません。 指定した正確な値を含むイベントのみが、CloudWatch ログから収集されます。
フィルター・パターンの値として「ACCEPT」と入力すると、「ACCEPT」という単語を含むイベントだけが収集されます。 以下の例は、「ACCEPT」という値を使用した場合に得られる結果を示しています。
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}元のイベントの抽出 (Extract Original Event) CloudWatch ログは、受信したイベントを追加のメタデータでラップします。 CloudWatch ログに追加された元のイベントのみを QRadarに転送する場合は、このオプションを選択します。 元のイベントは、CloudWatch ログから抽出されるメッセージ・キーの値です。
次の CloudWatch ログ・イベントの例では、CloudWatch ログから抽出された元のイベントが太字テキストで示されています。{LogStreamName: guardDutyLogStream,Timestamp: 1519849569827,Message: {"version": "0", "id": "00-00", "detail-type": "GuardDuty Finding", "account": "1234567890", "region": "us-west-2", "resources": [], "detail": {"schemaVersion": "2.0", "accountId": "1234567890", "region": "us-west-2", "partition": "aws", "type": "Behavior:IAMUser/InstanceLaunchUnusual", "severity": 5.0, "createdAt": "2018-02-28T20:22:26.344Z", "updatedAt": "2018-02-28T20:22:26.344Z"}},IngestionTime: 1519849569862,EventId: 0000}ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) このチェック・ボックスは選択しないでください。
プロキシーの使用 (Use Proxy) QRadar がプロキシーを使用して Amazon Web サービスにアクセスする場合は、 「プロキシーの使用」を有効にします。
プロキシーが認証を必要とする場合、「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。
プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。サーバー証明書を自動的に獲得 (Automatically Acquire Server Certificates) リストから 「はい」 を選択すると、 QRadar は証明書をダウンロードし、ターゲット・サーバーを信頼して使用し始めます。
この機能は、新しく作成されたログ・ソースを初期化し、最初に証明書を取得する場合、または期限切れの証明書を置き換える場合に使用できます。
EPS スロットル QRadar が取り込む 1 秒当たりのイベントの最大数。
データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。
デフォルトは 5000 です。