Amazon Security Lake を使用する Amazon GuardDuty ログ・ソースの構成

Amazon S3 バケット内の複数のアカウントまたはリージョンから Amazon GuardDuty ログを収集できます。 IBM QRadar は Amazon AWS S3 REST API プロトコルを使用して Amazon Security Lake と通信します。ここで、 QRadar は Amazon GuardDuty ログを取得します。

手順

  1. Open Cybersecurity Schema Framework (OCSF) データを Parquet 形式で S3 バケットに記録するように Amazon Security Lake を構成します。 詳しくは、 カスタム・ソースからのデータの収集を参照してください。
    注: DSM のサポートされる OCSF バージョンは OCSF 1.0RC2です。 バージョン OCSF 1.1 は現在サポートされていません。
  2. 以下の 2 つの方法のいずれかを使用して、Amazon Security Lake 内の OCSF データへのアクセスを構成します。
    • SQS キューおよび IAM 役割をプロビジョンするサブスクライバーを作成するには、ステップ 3 を参照してください。

      サブスクライバーの作成について詳しくは、 Security Lake サブスクライバーのデータ・アクセスの管理を参照してください。

    • SQS キューおよび ObjectCreated 通知を手動で構成するには、ステップ 4 を参照してください。
  3. SQS キューと IAM 役割をプロビジョンするサブスクライバーを作成します。
    1. 購読を作成する際には、 URL 、IAM Role ARNExternal ID の値をメモしてください。
    2. Amazon Security Lake がセットアップされているアカウントとは異なるアカウントからこのサブスクリプションにアクセスする予定の場合は、そのアカウント ID を指定して信頼関係を適切に構成する必要があります。
  4. SQS キューおよび ObjectCreated 通知を手動で構成します。
    1. 選択したフォルダー内の Amazon Security Lake バケットに新しい OCSF Parquet データがある場合に、 Amazon S3 Event Notifications または AWS EventBridge のいずれかを使用して ObjectCreated 通知を受信するように SQS キューを構成します。
    2. Amazon Security Lake データが含まれている SQS キューとバケットの両方にアクセスするためのアクセス権 (直接または IAM 推測役割のいずれか) を持つアクセス・キーをプロビジョンします。
    詳しくは、 SQS キューの作成および S3 ObjectCreated 通知の構成を参照してください。
  5. データを収集して解析するように QRadar でログ・ソースを構成します。
    ヒント: 新しい OCSF Parquet データが使用可能になると、処理されるデータを含むファイルのバケット名とオブジェクト・キーを含むメッセージが SQS キューに送信されます。 その後、 QRadar はこのファイルをダウンロードして処理します。

次に実行するタスク

QRadarで CloudTrail ログ・ソースを追加します。 詳しくは、 SQS キューを使用した QRadar コンソールでの Amazon GuardDuty ログ・ソースの追加を参照してください。