Amazon Web Services Amazon AWS Elastic Kubernetes Service の データ・ソース・ パラメーター

オンラインで編集

Amazon Web Services コネクターを使用して、Amazon AWS Elastic Kubernetes Service データ・ソースQRadar® 製品 に追加します。

Amazon Web Services コネクターを使用する場合は、特定のパラメーターを構成する必要があります。

以下の表には、 Amazon Web Services イベント を Amazon Elastic Kubernetes Serviceから収集するために固有の値を必要とするパラメーターの説明が示されています。
表 1. Amazon Web Services データ・ソース Amazon AWS Elastic Kubernetes Service データ・ソース・タイプのパラメーター
パラメーター
データ・ソース・タイプ Amazon AWS Elastic Kubernetes Service
コネクター・タイプ Amazon Web Services
認証方式
アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
どの場所からでも使用できる標準認証。
EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
QRadar 製品の 管理対象ホストが AWS EC2 インスタンス上で実行されている場合、このオプションを選択して、認証のためにインスタンスに割り当てられているメタデータから IAM ロール を使用します。 鍵は必要ありません。
ヒント: この方法は、 AWS EC2 コンテナー内で実行される管理対象ホストに対してのみ機能します。
アクセス・キー ID

「認証方式」として「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」

セキュリティー資格情報の構成について詳しくは、 t_amazon_aws_ct_credentials.html#t_amazon_aws_ct_credentialsを参照してください。
秘密アクセス・キー

「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」

セキュリティー資格情報の構成について詳しくは、 t_amazon_aws_ct_credentials.html#t_amazon_aws_ct_credentialsを参照してください。
リージョン ログを収集する Amazon Web Service に関連付けられている各リージョンのチェック・ボックスを選択します。
その他のリージョン

ログを収集する Amazon Web Service に関連付けられているすべての追加リージョンの名前を入力します。

複数のリージョンから収集するには、以下の例のようなコンマ区切りリストを使用します。

region1,region2
AWS サービス

Amazon Web Service の名前。

「AWS サービス」 リストから、 「CloudWatch ログ」を選択します。
ログ・グループ

ログを収集する Amazon CloudWatch 内のログ・グループの名前。

ヒント: 単一の データ・ソース は、一度に 1 つのログ・グループからのみ CloudWatch ログを収集できます。 複数のログ・グループからログを収集する場合は、ログ・グループごとに別個の データ・ソース を作成します。
ログ・ストリーム (オプション) ログの収集元となるログ・グループ内のログ・ストリームの名前。
フィルター・パターン (オプション)

収集されたイベントをフィルタリングするためのパターンを入力します。 このパターンは正規表現フィルターではありません。 指定した正確な値を含むイベントのみが、CloudWatch ログから収集されます。

フィルター・パターンの値として「ACCEPT」と入力すると、「ACCEPT」という単語を含むイベントだけが収集されます。 以下の例は、「ACCEPT」という値を使用した場合に得られる結果を示しています。

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
元のイベントの抽出 (Extract Original Event)

CloudWatch ログは、受信したイベントを追加のメタデータでラップします。 CloudWatch ログに追加された元のイベントのみを QRadar 製品に転送する場合は、このオプションを選択します。 元のイベントは、CloudWatch ログから抽出されるメッセージ・キーの値です。

次の CloudWatch ログ・イベントの例では、CloudWatch ログから抽出された元のイベントが太字テキストで示されています。
{LogStreamName: guardDutyLogStream,Timestamp: 1519849569827,Message: {"version": "0", "id": "00-00", "detail-type": "GuardDuty Finding", "account": "1234567890", "region": "us-west-2", "resources": [], "detail": {"schemaVersion": "2.0", "accountId": "1234567890", "region": "us-west-2", "partition": "aws", "type": "Behavior:IAMUser/InstanceLaunchUnusual",  "severity": 5.0, "createdAt": "2018-02-28T20:22:26.344Z", "updatedAt": "2018-02-28T20:22:26.344Z"}},IngestionTime: 1519849569862,EventId: 0000}
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

このオプションを選択すると、収集されたイベントは、 QRadar トラフィック分析エンジンおよび QRadar を介して 1 つ以上のログ・ソースを自動的に検出します。

Amazon AWS S3 バケットが AWS Kubernetes イベント専用である場合は、このチェック・ボックスを選択しないでください。

Amazon AWS S3 バケットに複数の AWS ソースからのデータが含まれている場合は、このチェック・ボックスを選択する必要があります。
プロキシーの使用

QRadar 製品 がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを有効にします。

プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
サーバー証明書を自動的に獲得 (Automatically Acquire Server Certificates)

リストから 「はい」 を選択すると、 QRadar は証明書をダウンロードし、ターゲット・サーバーを信頼して使用し始めます。

この機能を使用して、新しく作成された データ・ソース を初期化し、最初に証明書を取得するか、有効期限が切れた証明書を置き換えることができます。
EPS スロットル

この データ・ソース が超過できないイベント/秒 (EPS) の最大数。

デフォルトは 5000 です。 「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションにチェック・マークが付けられている場合、この値はオプションです。 「EPS スロットル」 をブランクのままにすると、 QRadarによって制限が課されることはありません。

Amazon Web Services コネクター のパラメーターとその値の完全なリストについては、 Amazon Web Services のコネクター構成オプションを参照してください。