Amazon Security Lake を使用する Amazon Route 53 ログ・ソースの構成

Amazon S3 バケット内の複数のアカウントまたはリージョンから Amazon Route 53 ログを収集できます。 IBM QRadar は Amazon AWS S3 REST API プロトコルを使用して Amazon Security Lake と通信し、 QRadar は Amazon Route 53 ログを取得します。

1. Open Cybersecurity Schema Framework (OCSF) データを Parquet フォーマットで S3 バケットに記録するように Amazon Security Lake を構成します。 詳しくは、 カスタム・ソースからのデータの収集を参照してください。
   注: DSM のサポートされる OCSF バージョンは OCSF 1.0RC2です。 バージョン OCSF 1.1 は現在サポートされていません。
2. 以下の 2 つの方法のいずれかを使用して、Amazon Security Lake 内の OCSF データへのアクセスを構成します。
   • SQS キューおよび IAM 役割をプロビジョンするサブスクライバーを作成するには、ステップ 3 を参照してください。

     サブスクライバーの作成について詳しくは、 Security Lake サブスクライバーのデータ・アクセスの管理を参照してください。

   • SQS キューおよび ObjectCreated 通知を手動で構成するには、ステップ 4 を参照してください。
3. SQS キューと IAM 役割をプロビジョンするサブスクライバーを作成します。
   1. 購読を作成する際には 、 URL 、IAM Role ARN、 External ID の値をメモしてください。
   2. Amazon Security Lake がセットアップされているアカウントとは異なるアカウントからこのサブスクリプションにアクセスする予定の場合は、そのアカウント ID を指定して信頼関係を適切に構成する必要があります。
4. SQS キューおよび ObjectCreated 通知を手動で構成します。
   1. 選択したフォルダー内の Amazon Security Lake バケットに新しい OCSF Parquet データがある場合に、 Amazon S3 Event Notifications または AWS EventBridge のいずれかを使用して ObjectCreated 通知を受信するように SQS キューを構成します。
   2. SQS キューと、Amazon Security Lake データを含むバケットの両方にアクセスするためのアクセス権を (直接または IAM 推測役割を使用して) 持つアクセス・キーをプロビジョンします。
   詳しくは、 SQS および S3 オブジェクト REST API の作成を参照してください。
5. データを収集して解析するように QRadar でログ・ソースを構成します。
   ヒント: 新しい OCSF Parquet データが使用可能になると、処理されるデータを含むファイルのバケット名とオブジェクト・キーを含むメッセージが SQS キューに送信されます。 その後、 QRadar はこのファイルをダウンロードして処理します。