Amazon AWS Network Firewall

IBM QRadar DSM for Amazon AWS Network Firewall は、Amazon AWS REST API プロトコルを使用して、Amazon AWS ネットワーク・ファイアウォール・デバイスからイベントを収集します。

Amazon AWS Network Firewall はステートフル・ネットワーク・ファイアウォールです。このファイアウォールにより、ユーザーは Amazon Virtual Private Cloud (VPC) サービスの境界でトラフィックをフィルタリングできます。

Amazon AWS Network Firewall を QRadarに統合するには、以下の手順を実行します。
  1. 自動更新が有効になっていない場合は、IBM® サポート Web サイトから RPM をダウンロードできます。 以下に示す RPM の最新バージョンをダウンロードして QRadar Consoleにインストールしてください。
    • プロトコル共通 RPM
    • AWS S3 REST API プロトコル RPM
    • Amazon AWS Network Firewall DSM RPM
  2. アラートまたはフロー・ログが S3 バケットにパブリッシュされるように Amazon AWS Network Firewall デバイスを構成します。 詳しくは、Amazon AWS の資料を参照してください。
  3. 使用した S3 バケットから作成された通知オブジェクトを受け取るために使用される SQS キューを作成するのがステップ 2 です。 詳しくは、 SQS キューの作成および S3 ObjectCreated 通知の構成を参照してください。
  4. AWS ユーザー・アカウント用のセキュリティー資格情報を構成します。 詳しくは、AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
  5. Amazon AWS REST API プロトコルを使用して、 QRadar Console 上に Amazon AWS Network Firewall ログ・ソースを追加します。 詳しくは、 Amazon AWS REST API log source parameters for Amazon AWS Network Firewallを参照してください。
    重要: QRadarでフロー・ログを受信するには、 QRadar Flow Processor が使用可能であり、ライセンス交付を受けている必要があります。 その他のログ・ソースとは異なり、AWS Network フロー・ログは「ログ・アクティビティー」タブには送信されません。 「ネットワーク・アクティビティー」タブに送信されます。