Amazon AWS S3 REST API プロトコルを使用した Amazon GuardDuty ログ・ソースの構成

AWS S3 バケットを使用する場合に Amazon GuardDuty 検出結果を収集するには、Amazon AWS S3 REST API プロトコルを使用して IBM QRadar でログ・ソースを追加します。

手順

  1. 自動更新が有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードして、QRadar Console にインストールしてください:
    • プロトコル共通 RPM
    • Amazon AWS REST API プロトコル RPM
    • DSMCommon RPM
    • Amazon GuardDuty DSM RPM
  2. イベントを AWS S3 バケットに転送するように Amazon GuardDuty を構成します。
  3. 次の表を使用して、Amazon AWS S3 REST API プロトコルを使用する Amazon AWS CloudTrail ログ・ソースのパラメーターを設定します。
    表 1. Amazon AWS S3 REST API プロトコル・ログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース・タイプ Amazon GuardDuty
    プロトコル構成 Amazon AWS S3 REST API
    認証方法
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択して、認証のためにインスタンスに割り当てられたメタデータから IAM ロール を使用します。 鍵は必要ありません。
    重要: この方法は、 AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ機能します。
    アクセス・キー ID

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」

    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    秘密鍵

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」。 この値は、AWS S3 バケットにアクセスするために使用される「秘密鍵 ID (Secret Key ID)」でもあります。

    セキュリティー資格情報の構成について詳しくは、以下を参照してください。 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照。
    S3 収集方式 以下のいずれかの収集方法を選択します。
    • SQS イベント通知
    • 特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)
    SQS キューの URL (SQS Queue URL)

    「S3 収集方式」「SQS イベント通知」を選択した場合は、このパラメーターを構成します。

    このフィールドは、https:// で始まる SWS セットアップの絶対 URL を使用して、S3 から ObjectCreate イベントに関する通知を受信します。 例えば、https://sqs.us-east-2.amazonaws.com/1234567890123/CloudTrail_SQS_QRadar

    詳しくは、公開サイト Web サイトへの Amazon S3 イベント通知の構成 リンク (https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html) を参照してください。

    確実にすべてのデータが処理され、ファイルが正常に処理された後にキューからメッセージが削除されるようにするには、この構成がこのキューの唯一のコンシューマーでなければなりません。
    バケット名

    「S3 収集方式」「特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)」を選択した場合は、このパラメーターを構成します。

    ログ・ファイルが格納されている AWS S3 バケットの名前。
    ディレクトリー接頭部 (Directory Prefix)

    「S3 収集方式」「特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)」を選択した場合は、このパラメーターを構成します。

    CloudTrail ログの取得元である AWS S3 バケットでのルート・ディレクトリーの場所 (例: AWSLogs/<AccountNumber>/CloudTrail/<RegionName>/)。

    バケットのルート・ディレクトリーからファイルをプルするには、 「ディレクトリー接頭部」 ファイル・パスにスラッシュ (/) を使用する必要があります。

    ヒント:
    • 「ディレクトリー接頭部 (Directory Prefix)」の値を変更すると、保持されているファイル・マーカーがクリアされます。 次回のプル実行時に、新しい接頭部に一致するすべてのファイルがダウンロードされます。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスの先頭をスラッシュ (/) にすることはできません (スラッシュだけを使用してバケットのルートからデータを収集する場合を除く)。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスを使用してフォルダーを指定する場合は、ファイル・パスの先頭をスラッシュにすることはできません (代わりに folder1/folder2 などと指定します)。
    領域名 SQS キューまたは S3 バケットが含まれているリージョン。

    例: us-east-1、eu-west-1、ap-northeast-3
    イベント・フォーマット 「LINEBYLINE」を選択します。 収集されるログ・ファイルには、1 行に 1 つのレコードが入ります。

    gzip (.gz または .gzip) および zip (.zip) を使用した圧縮がサポートされます。
    ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) このオプションは有効にしないでください。
    プロキシーの使用 (Use Proxy)

    QRadar がプロキシーを使用して Amazon Web サービスにアクセスする場合は、 「プロキシーの使用」を有効にします。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
    サーバー証明書を自動的に獲得 リストから「はい」を選択すると、 QRadar は証明書をダウンロードし、ターゲット・サーバーを信頼して使用し始めます。

    この機能は、新しく作成されたログ・ソースを初期化し、最初に証明書を取得する場合、または期限切れの証明書を置き換える場合に使用できます。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

    デフォルトは 5000 です。