Amazon S3 バケット内の複数のアカウントまたはリージョンから Amazon GuardDuty ログを収集できます。 IBM
QRadar は Amazon AWS S3 REST API プロトコルを使用して Amazon Security Lake と通信します。ここで、 QRadar は Amazon GuardDuty ログを取得します。
手順
- Open Cybersecurity Schema Framework (OCSF) データを Parquet 形式で S3 バケットに記録するように Amazon Security Lake を構成します。 詳しくは、 カスタム・ソースからのデータの収集を参照してください。
注: DSM のサポートされる OCSF バージョンは OCSF 1.0RC2です。 バージョン OCSF 1.1 は現在サポートされていません。
- 以下の 2 つの方法のいずれかを使用して、Amazon Security Lake 内の OCSF データへのアクセスを構成します。
- SQS キューと IAM 役割をプロビジョンするサブスクライバーを作成します。
- 購読を作成する際には、 URL 、IAM Role ARN、 External ID の値をメモしてください。
- Amazon Security Lake がセットアップされているアカウントとは異なるアカウントからこのサブスクリプションにアクセスする予定の場合は、そのアカウント ID を指定して信頼関係を適切に構成する必要があります。
- SQS キューおよび ObjectCreated 通知を手動で構成します。
- 選択したフォルダー内の Amazon Security Lake バケットに新しい OCSF Parquet データがある場合に、 Amazon S3 Event Notifications または AWS EventBridge のいずれかを使用して ObjectCreated 通知を受信するように SQS キューを構成します。
- Amazon Security Lake データが含まれている SQS キューとバケットの両方にアクセスするためのアクセス権 (直接または IAM 推測役割のいずれか) を持つアクセス・キーをプロビジョンします。
- データを収集して解析するように QRadar でログ・ソースを構成します。
ヒント: 新しい OCSF Parquet データが使用可能になると、処理されるデータを含むファイルのバケット名とオブジェクト・キーを含むメッセージが SQS キューに送信されます。 その後、 QRadar はこのファイルをダウンロードして処理します。
次に実行するタスク
QRadarで CloudTrail ログ・ソースを追加します。 詳しくは、 SQS キューを使用した QRadar コンソールでの Amazon GuardDuty ログ・ソースの追加を参照してください。