ディレクトリー接頭部を持つ S3 バケットを使用する AWS Verified Access ログ・ソースの構成

Amazon S3 バケット内の単一のアカウントおよびリージョンから AWS Verified Access を収集する場合は、ディレクトリー接頭部を指定した Amazon AWS S3 REST API プロトコルを使用して AWS Verified Access が QRadar と通信できるように、 QRadar Console でログ・ソースを構成します。

このタスクについて

複数のリージョンからのログ・ソースが S3 バケットにある場合、または複数のアカウントを使用するログ・ソースがある場合は、ディレクトリー接頭部ではなく、 SQS キューを指定した Amazon AWS REST API プロトコル を使用します。

制約事項: ディレクトリー接頭部を使用するログ・ソースは、1 つのリージョンと 1 つのアカウントからのみデータを取得できるため、リージョンとアカウントごとに異なるログ・ソースを使用してください。 ログ・ソースの構成時に、 Directory Prefix 値のファイル・パスにリージョン・フォルダー名を含めます。

手順

  1. S3 バケット名およびディレクトリー接頭部の検出
  2. Amazon AWS Identity and Access Management (IAM) ユーザーを作成し、 AmazonS3ReadOnlyAccess ポリシーを適用します。
  3. AWS ユーザー・アカウントのセキュリティー資格情報を構成します
  4. ディレクトリー接頭部を使用して、 QRadar Console で AWS Verified Access ログ・ソースを追加します。