QRadar Cloud Visibility と通信するための Amazon AWS サービスの構成

QRadar® Cloud Visibility アプリと通信するように Amazon AWS を構成するには、 QRadar Cloud Visibility でモニターする必要がある関連するログ・ソース・タイプとログ・ソースを追加します。

始める前に

アプリケーションを構成するには、 QRadar 管理者特権が必要です。

Amazon AWS サービスをアプリケーションに追加する前に、初期構成を完了します。 QRadar Cloud Visibility と通信するためのクラウド・サービス・プロバイダーの構成を参照してください。

重要: インターネットへのアウトバウンド接続を妨げるファイアウォールがある場合は、 QRadar Cloud Visibility が AWS エンドポイントに接続できるようにファイアウォールの構成を変更する必要があります。 詳しくは、 Firewall URL requirements for Amazon AWSを参照してください。

手順

  1. 「管理」 タブで、 「アプリ」 > 「クラウドの可視性」 > 「構成」をクリックします。
  2. AWS タブをクリックし、 「Amazon AWS ダッシュボードおよびその他の機能を有効にする」 チェック・ボックスを選択します。
  3. Amazon AWS アカウントに接続するためにプロキシー・サーバーが必要な場合は、 「プロキシー構成」 セクションで設定を構成し、 「検証」をクリックします。
  4. AWS アカウントのリソース・アクセス許可をセットアップするために、以下のいずれかのオプションを選択します。
    1. QRadar Cloud Visibilityと通信するために初めて AWS を構成する場合は、 AWS リソース・アクセス許可ウィザード をクリックし、ウィザードで以下のいずれかのオプションを選択して、 QRadar Cloud Visibility がアクセスできる AWS リソースを定義します。
      • ウィザードを使用して、AWS アカウントをセットアップできるようにする。 ウィザードで AWS アカウントを直接更新することはありません。 選択したオプションに応じて、スクリプトが生成されるか、詳細な説明が示されます。
      • AWS アカウント資格情報および統合オプションを設定する。 新しい AWS アカウント資格情報またはポリシーをアプリケーションに提供します。 個別または複数の「Assume role policy (ロールを引き受けるポリシー)」ARN をアカウントに追加します。 AWS リソースがある AWS パーティションおよびリージョンを選択します。 AWS Security Hub および Amazon Detective の統合の設定を指定します。 既存の構成を検証します。
    2. 既存の AWS アクセス許可を変更する場合は、 AWS リソース・アクセス許可ウィザード をクリックし、ウィザードで以下のいずれかのオプションを選択して、 QRadar Cloud Visibility がアクセスできる AWS リソースを定義します。
      • ウィザードを使用して、現在の AWS アカウントのセットアップを変更する。 信頼するアカウントを追加または削除することで、あるいはトラステッド・アカウントを変更することで、現在のセットアップを変更します。 AWS リソースがある AWS パーティションおよびリージョンを選択します。 Amazon Detective および AWS Security Hub との統合の設定を構成します。 構成の実行には、AWS CLI または AWS マネジメント・コンソールのいずれかを選択して使用します。
      • AWS アカウント資格情報または統合オプションを変更する。 新しい AWS アカウント資格情報またはポリシーをアプリケーションに提供します。 個別または複数の「Assume role policy (ロールを引き受けるポリシー)」ARN をアカウントに追加します。 AWS リソースがある AWS パーティションおよびリージョンを選択します。 AWS Security Hub および Amazon Detective の統合の設定を指定します。 既存の構成を検証します。
  5. ログ・ソースによって取得されたイベントからのオフェンスが 「オフェンスの概要」 グラフに表示されるように、サービスのログ・ソース・タイプおよびログ・ソースを構成します。
    最大で合計 100 個のログ・ソースおよびログ・ソース・タイプを設定できます。 任意のログ・ソース・タイプやログ・ソースを構成から削除できます。
  6. アプリ・データベースから IAM ユーザー情報を削除するには、 Data Management セクションで 「削除」 をクリックします。 ユーザー情報はアプリからのみ削除され、 AWS や QRadarからは削除されません。
  7. 変更内容を保存するには、 「設定」 をクリックします。