SQS キューを使用する S3 バケットを使用する AWS Verified Access ・ログ・ソースの構成
Amazon S3 バケット内の複数のアカウントまたはリージョンから AWS Verified Access ログを収集する場合は、 AWS Verified Access が Amazon AWS S3 REST API プロトコルおよび Simple Queue Service (SQS) キューを使用して QRadar と通信できるように、 QRadar Console でログ・ソースを構成します。
このタスクについて
- リージョンとアカウントごとに 1 つのログ・ソースではなく、S3 バケットに 1 つのログ・ソースを使用できます。
- この方法では、 ObjectCreated 通知を使用して新規ファイルの準備がいつできるかを判別するため、ファイルが欠落する可能性が低くなります。
- SQS キューは複数のクライアントからの接続をサポートするため、複数の Event Collectors 間で負荷のバランスを取るのは簡単です。
- ディレクトリー接頭部方式とは異なり、SQS キュー方式では、フォルダー内のファイル名は絶対パスに基づいて昇順でソートされたストリングである必要はありません。 カスタム・アプリケーションからのファイル名は、常にこれに準拠しているとは限りません。
- SQS キューをモニターし、レコードが特定の数を超えた場合には、アラートをセットアップできます。 これらのアラートは、 QRadar がイベントの収集に遅れているかどうかに関する情報を提供します。
- SQS を使用した IAM ロール認証を使用することができます。これは、Amazon のセキュリティーのベスト・プラクティスです。
- 証明書の処理は SQS 方式で改善されており、 Event Collectorへの証明書のダウンロードは必要ありません。