Amazon Web Services プロトコルおよび CloudWatch ログを使用した Amazon AWS CloudTrail データ・ソース の追加

Amazon CloudWatch ログから AWS CloudTrail ログを収集する場合は、 QRadar® 製品データ・ソース を追加して、Amazon AWS CloudTrail が QRadar 製品 と Amazon Web Services コネクターを使用して通信できるようにします。

手順

  1. 以下の表を使用して、 Amazon Web Services プロトコルを使用して Amazon AWS CloudTrail から監査イベントを収集するために固有の値を必要とするパラメーターについて説明します。
    表 1. Amazon Web Services AWS CloudWatch ログの データ・ソース ・パラメーター
    パラメーター 説明
    コネクター・タイプ Amazon Web Services
    認証方法
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    QRadar 製品の 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられているメタデータの IAM 役割が使用されます。 鍵は必要ありません。 この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
    アクセス・キー

    AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成されたアクセス・キー ID。

    「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「アクセス・キー (Access Key)」パラメーターが表示されます。
    秘密鍵

    AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成された秘密鍵。

    「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「秘密鍵 (Secret Key)」パラメーターが表示されます。
    IAM ロールの指定 このオプションを有効にするには、アクセス・キーまたは EC2 インスタンスの IAM ロールを使用して認証を行います。 これにより、アクセス用の IAM ロールを一時的に指定することができます。
    ロール ARN の指定 (assume Role ARN) 指定するロールのフル ARN。 arn: で始まる必要があり、先頭や末尾、または ARN 内にスペースを含めることはできません。

    「IAM ロールの指定」を有効にすると、「ロール ARN の指定 (assume Role ARN)」パラメーターが表示されます。
    ロール・セッション名を想定 指定するロールのセッション名。 デフォルトは QRadarAWSSessionです。 変更する必要がない場合は、デフォルトのままにしてください。 このパラメーターで使用できる文字は、英数字の大文字と小文字、アンダースコアー、および =,.@- のみです。

    「IAM ロールの指定」を有効にすると、「ロール・セッション名の指定 (Assume Role Session Name)」パラメーターが表示されます。
    リージョン ログの収集元の Amazon Web Service に関連付けられている各リージョンを切り替えます。
    AWS サービス 「AWS サービス」 リストから、 「CloudWatch ログ」を選択します。
    ログ・グループ
    ログを収集する Amazon CloudWatch 内のログ・グループの名前。
    注: 単一の データ・ソース は、一度に 1 つのログ・グループから CloudWatch ログを収集します。 複数のログ・グループからログを収集する場合は、ログ・グループごとに別個の データ・ソース を作成します。
    CloudWatch 拡張オプションを有効にする (Enable CloudWatch Advanced Options) 以下のオプションの拡張構成値を有効にします。 拡張オプション値は、このオプションが選択された場合にのみ使用されます。それ以外の場合は、デフォルト値が使用されます。
    ログ・ストリーム (Log Stream)
    (オプション) ログ・グループ内のログ・ストリームの名前。 ログ・グループ内のすべてのログ・ストリームからログを収集する場合は、このフィールドをブランクのままにします。
    フィルター・パターン (Filter Pattern)
    (オプション) 収集されたイベントをフィルタリングするためのパターンを入力します。 このパターンは正規表現フィルターではありません。 指定した正確な値を含むイベントのみが、CloudWatch ログから収集されます。 次の例に示すように「フィルター・パターン (Filter Pattern)」値に ACCEPT を入力した場合、ACCEPT という単語を含むイベントのみが収集されます。
    {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
    イベント遅延 (Event Delay)
    データ収集の遅延秒数。
    その他のリージョン (Other Region(s))
    非推奨。 代わりに 「地域」 を使用してください。
    元のイベントの抽出 (Extract Original Event)

    CloudWatch ログに追加された元のイベントのみを転送します。

    CloudWatch ログは、受信したイベントを追加のメタデータでラップします。 AWS に送信された元のイベントのみを収集し、CloudWatch での追加のストリーム・データは不要な場合は、このオプションを選択します。

    元のイベントは、CloudWatch ログから抽出されるメッセージ・キーの値です。 次の CloudWatch ログ・イベントの例では、CloudWatch ログから抽出された元のイベントが強調表示されたテキストで示されています。

    {LogStreamName: 123456786_CloudTrail_us-east-2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":"arn:aws:iam::1234567890:user/<username>","accountId":"1234567890","accessKeyId":"AAAABBBBCCCCDDDD","userName":"User-Name","sessionContext":{"attributes":{"mfaAuthenticated":"false","creationDate":"2017-09-18T13:22:10Z"}},"invokedBy":"signin.amazonaws.com"},"eventTime":"2017-09-18T14:10:15Z","eventSource":"cloudtrail.amazonaws.com","eventName":"DescribeTrails","awsRegion":"us-east-1","sourceIPAddress":"192.0.2.1","userAgent":"signin.amazonaws.com","requestParameters":{"includeShadowTrails":false,"trailNameList":[]},"responseElements":null,"requestID":"11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a4914e00-1111-491d-bbbb-a0dd3845b302","eventType":"AwsApiCall","recipientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333}
    ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。

    「ゲートウェイ・ログ・ソースとして使用」 を選択せず、 「ログ・ソース ID パターン」を構成しない場合、 QRadar 製品は、 不明な汎用 データ・ソースとしてイベントを受信します
    ログ・ソース ID パターン (Log Source Identifier Pattern)

    「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」を選択した場合は、カスタム・ログ・ソース ID を定義できます。 このオプションは、処理中のイベントに対して定義でき、該当する場合は自動的に検出されます。 「ログ・ソース ID パターン」を構成しない場合、 QRadar 製品 は、不明な汎用イベントとしてイベントを受信します。

    カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。 このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。 この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

    各パターンを新しい行に入力して、複数のキーと値のペアを定義します。 複数のパターンは、リストされている順序で評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

    次の例では複数のキーと値のペアの機能を示します。
    パターン
    VPC=\sREJECT\sFAILURE
    $1=\s(REJECT)\sOK
    VPC-$1-$2=\s(ACCEPT)\s(OK)
    イベント
    {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
    結果としてのカスタム・ログ・ソース ID
    VPC-ACCEPT-OK
    プロキシーの使用

    QRadar 製品 がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。
    EPS スロットル

    1 秒あたりの最大イベント数 (EPS) の上限。 デフォルトは 5000 です。

    「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションが選択されている場合、この値はオプションです。

    「EPS スロットル (EPS Throttle)」 パラメーター値をブランクのままにすると、 QRadar 製品によって EPS 制限が課されることはありません。
  2. QRadar 製品 が正しく構成されていることを確認するには、以下の表を参照して、構文解析されたイベント・メッセージの例を確認してください。

    実際の CloudTrail ログは、CloudWatch ログ JSON ペイロードにラップされます。

    表 2. Amazon がサポートする Amazon CloudTrail Logs のサンプル・メッセージ AWS CloudTrail データ・ソース・タイプ
    イベント名 下位カテゴリー サンプル・ログ・メッセージ
    証跡の記述 (Describe Trails) 読み取りアクティビティーが試行されました 
    {LogStreamName: 1234567890_CloudTrail_us
-east-2,Timestamp: 1505744407363,Message: 
{"eventVersion":"1.05","userIdentity":{"type"
:"IAMUser","principalId":"AIDAIEGANDWTHAAUMATYA",
"arn":"arn:aws:iam::1234567890:user/QRadar-ITeam",
"accountId":"1234567890","accessKeyId":
"AAAABBBBCCCCDDDD","userName":"QRadar-ITeam",
"sessionContext":{"attributes":{"mfaAuthenticated":
"false","creationDate":"2017-09-18T13:22:10Z"}},
"invokedBy":"signin.amazonaws.com"},"eventTime":
"2017-09-18T14:10:15Z","eventSource":
"cloudtrail.amazonaws.com","eventName":
"DescribeTrails","awsRegion":"us-east-1",
"sourceIPAddress":"127.0.0.1","userAgent":
"signin.amazonaws.com","requestParameters":
{"includeShadowTrails":false,"trailNameList":
[]},"responseElements":null,"requestID":
"17b7a04c-99cca-11a1-9d83-43d5bce2d2fc",
"eventID":"a4444e00-55e5-4444-bbbb-a0dd3845b302",
"eventType":"AwsApiCall","recipientAccountId":
"1234567890"},IngestionTime: 1505744407506,
EventId: 33579222362711111111111111222222222222}