SQS キューを使用する S3 バケットを使用する AWS Verified Access ・ログ・ソースの構成

Amazon S3 バケット内の複数のアカウントまたはリージョンから AWS Verified Access ログを収集する場合は、 AWS Verified Access が Amazon AWS S3 REST API プロトコルおよび Simple Queue Service (SQS) キューを使用して QRadar と通信できるように、 QRadar Console でログ・ソースを構成します。

このタスクについて

ディレクトリー接頭部ではなく、Amazon AWS S3 REST API プロトコルと Simple Queue Service (SQS) キューを使用すると、以下のような利点があります。
  • リージョンとアカウントごとに 1 つのログ・ソースではなく、S3 バケットに 1 つのログ・ソースを使用できます。
  • この方法では、 ObjectCreated 通知を使用して新規ファイルの準備がいつできるかを判別するため、ファイルが欠落する可能性が低くなります。
  • SQS キューは複数のクライアントからの接続をサポートするため、複数の Event Collectors 間で負荷のバランスを取るのは簡単です。
  • ディレクトリー接頭部方式とは異なり、SQS キュー方式では、フォルダー内のファイル名は絶対パスに基づいて昇順でソートされたストリングである必要はありません。 カスタム・アプリケーションからのファイル名は、常にこれに準拠しているとは限りません。
  • SQS キューをモニターし、レコードが特定の数を超えた場合には、アラートをセットアップできます。 これらのアラートは、 QRadar がイベントの収集に遅れているかどうかに関する情報を提供します。
  • SQS を使用した IAM ロール認証を使用することができます。これは、Amazon のセキュリティーのベスト・プラクティスです。
  • 証明書の処理は SQS 方式で改善されており、 Event Collectorへの証明書のダウンロードは必要ありません。

手順

  1. ObjectCreated 通知の受信に使用される SQS キューを作成します。
  2. Amazon AWS Identity and Access Management (IAM) ユーザーを作成し、 AmazonS3ReadOnlyAccess ポリシーを適用します。
  3. AWS ユーザー・アカウントのセキュリティー資格情報を構成します
  4. SQS キューを使用する QRadar Console での AWS Verified Access ログ・ソースの追加.