Amazon AWS Route 53 の Amazon Web Services ログ・ソース・パラメーター

Amazon CloudWatch ログから AWS Route 53 ログを収集する場合は、 Amazon Web Services プロトコルを使用して QRadar Console でログ・ソースを追加します。

Amazon Web Services プロトコルを使用する場合は、特定のパラメーターを構成する必要があります。

以下の表には、Amazon AWS Route 53 から Amazon Web Services イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
表 1. Amazon AWS Route 53 DSM の Amazon Web Services ログ・ソース・パラメーター
パラメーター
Log Source type Amazon AWS Route 53
Protocol Configuration Amazon Web Services
Authentication Method
アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
どの場所からでも使用できる標準認証。
EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
QRadar 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたメタデータの IAM 役割が使用されます。 鍵は必要ありません。 この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
Access Key

AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成されたアクセス・キー ID。

「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「アクセス・キー (Access Key)」パラメーターが表示されます。
Secret Key

AWS ユーザー・アカウント用のセキュリティー資格情報を構成したときに生成された秘密鍵。

「アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)」または「IAM ロールの指定」を選択した場合は、「秘密鍵 (Secret Key)」パラメーターが表示されます。
Assume an IAM Role このオプションを有効にするには、アクセス・キーまたは EC2 インスタンスの IAM ロールを使用して認証を行います。 これにより、アクセス用の IAM ロールを一時的に指定することができます。
Assume Role ARN 指定するロールのフル ARN。 arn: で始まる必要があり、先頭や末尾、または ARN 内にスペースを含めることはできません。

「IAM ロールの指定」を有効にすると、「ロール ARN の指定 (assume Role ARN)」パラメーターが表示されます。
Assume Role Session Name 指定するロールのセッション名。 デフォルトは QRadarAWSSessionです。 変更する必要がない場合は、デフォルトのままにしてください。 このパラメーターで使用できる文字は、英数字の大文字と小文字、アンダースコアー、および =,.@- のみです。

「IAM ロールの指定」を有効にすると、「ロール・セッション名の指定 (Assume Role Session Name)」パラメーターが表示されます。
Regions ログの収集元の Amazon Web Service に関連付けられている各リージョンを切り替えます。
AWS Service 「AWS サービス」 リストから、 「CloudWatch ログ」を選択します。
Log Group ログを収集する Amazon CloudWatch 内のログ・グループの名前。
注: 単一のログ・ソースが、一度に 1 つのログ・グループから CloudWatch ログを収集します。 複数のログ・グループからログを収集する場合は、ログ・グループごとに別個のログ・ソースを作成します。
Enable CloudWatch Advanced Options 以下のオプションの拡張構成値を有効にします。有効にしない場合は、デフォルト値が使用されます。
ログ・ストリーム (Log Stream)
(オプション) ログ・グループ内のログ・ストリームの名前。 ログ・グループ内のすべてのログ・ストリームからログを収集する場合は、このフィールドをブランクのままにします。
フィルター・パターン (Filter Pattern)
(オプション) 収集されたイベントをフィルタリングするためのパターンを入力します。 このパターンは正規表現フィルターではありません。 指定した正確な値を含むイベントのみが、CloudWatch ログから収集されます。 次の例に示すように「フィルター・パターン (Filter Pattern)」値に ACCEPT を入力した場合、ACCEPT という単語を含むイベントのみが収集されます。
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
イベント遅延 (Event Delay)
データ収集の遅延秒数。
その他のリージョン (Other Region(s))
非推奨です。 代わりに 「地域」 を使用してください。
Extract Original Event

CloudWatch ログに追加された元のイベントのみを転送します。

CloudWatch ログは、受信したイベントを追加のメタデータでラップします。 AWS に送信された元のイベントのみを収集し、CloudWatch での追加のストリーム・データは不要な場合は、このオプションを選択します。

元のイベントは、CloudWatch ログから抽出されるメッセージ・キーの値です。 次の CloudWatch ログ・イベントの例では、CloudWatch ログから抽出された元のイベントが強調表示されたテキストで示されています。

{LogStreamName: 123456786_CloudTrail_us-east-2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":"arn:aws:iam::1234567890:user/<username>","accountId":"1234567890","accessKeyId":"AAAABBBBCCCCDDDD","userName":"User-Name","sessionContext":{"attributes":{"mfaAuthenticated":"false","creationDate":"2017-09-18T13:22:10Z"}},"invokedBy":"signin.amazonaws.com"},"eventTime":"2017-09-18T14:10:15Z","eventSource":"cloudtrail.amazonaws.com","eventName":"DescribeTrails","awsRegion":"us-east-1","sourceIPAddress":"192.0.2.1","userAgent":"signin.amazonaws.com","requestParameters":{"includeShadowTrails":false,"trailNameList":[]},"responseElements":null,"requestID":"11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a4914e00-1111-491d-bbbb-a0dd3845b302","eventType":"AwsApiCall","recipientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333}
Use As A Gateway Log Source イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。

「ゲートウェイ・ログ・ソースとして使用」 を選択せず、 「ログ・ソース ID パターン」を構成しない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。
Log Source Identifier Pattern

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」を選択した場合は、カスタム・ログ・ソース ID を定義できます。 このオプションは、処理するイベントに対して、および該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID に対して定義することができます。 ログ・ソース ID パターン を構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受け取ります。

カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。 このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。 この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

各パターンを新しい行に入力して、複数のキーと値のペアを定義します。 複数のパターンは、リストされている順序で評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
Use Proxy

QRadar がプロキシーを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。

プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。
EPS Throttle

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

Amazon Web Services プロトコルについて詳しくは、 Amazon Web Services プロトコルの構成オプションを参照してください。