ディレクトリー接頭部を使用した QRadar Console での AWS Verified Access ログ・ソースの追加

Amazon S3 バケット内の単一のアカウントおよびリージョンから AWS Verified Access ・ログを収集する場合は、 QRadar Console にログ・ソースを追加して、Amazon AWS Verified Access がディレクトリー接頭部付きの Amazon AWS S3 REST API プロトコルを使用して QRadar と通信できるようにします。

手順

  1. 以下の表を使用して、Amazon AWS S3 REST API プロトコルおよびディレクトリー接頭部を使用する Amazon AWS Verified Access ・ログ・ソースのパラメーターを設定します。
    表 1. Amazon AWS S3 REST API プロトコル・ログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース・タイプ AWS Verified Access
    プロトコル構成 Amazon AWS S3 REST API
    ログ・ソース ID

    ログ・ソースの固有名を入力します。

    「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の AWS Verified Access ログ・ソースが構成されている場合、最初のログ・ソースを awsverifiedaccess1、2 番目のログ・ソースを awsverifiedaccess2、3 番目のログ・ソースを awsverifiedaccess3として識別することができます。
    認証方法
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    IAM ロールの指定
    鍵で認証した後、アクセス用のロールを一時的に指定します。 このオプションは、「S3 収集方式」「SQS イベント通知」を選択した場合にのみ使用可能です。 サポート対象の「S3 収集方式」は、「特定の接頭部の使用 (Use a Specific Prefix)」です。
    IAM ユーザーの作成と役割の割り当てについて詳しくは、 AWS 管理コンソールでの IAM ユーザーの作成を参照してください。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    ご使用の管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証用にインスタンスに割り当てられたインスタンス・メタデータからの IAM ロールが使用され、鍵は必要ありません。 この方法は、AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ動作します。
    アクセス・キー ID

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「アクセス・キー ID (Access Key ID)」パラメーターが表示されます。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」。 この値は、AWS S3 バケットにアクセスするために使用される「アクセス・キー ID (Access Key ID)」でもあります。
    秘密鍵

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「秘密鍵 ID (Secret Key ID)」パラメーターが表示されます。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」。 この値は、AWS S3 バケットにアクセスするために使用される「秘密鍵 ID (Secret Key ID)」でもあります。
    イベント・フォーマット 「LINEBYLINE」を選択します。 ログ・ソースは JSON 形式のイベントを取得します。
    S3 収集方式 「特定の接頭部を使用」を選択します。
    バケット名

    ログ・ファイルが格納されている AWS S3 バケットの名前。
    ディレクトリー接頭部 (Directory Prefix)

    AWS Verified Access ・ログの取得元となる AWS S3 バケット上のルート・ディレクトリーの場所 (例: AWSLogs/<AccountNumber>/VerifiedAccess/<RegionName>/ )

    バケットのルート・ディレクトリーからファイルをプルするには、 「ディレクトリー接頭部」 ファイル・パスにスラッシュ (/) を使用する必要があります。

    注:
    • 「ディレクトリー接頭部 (Directory Prefix)」の値を変更すると、保持されているファイル・マーカーがクリアされます。 次回のプル実行時に、新しい接頭部に一致するすべてのファイルがダウンロードされます。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスの先頭をスラッシュ (/) にすることはできません (スラッシュだけを使用してバケットのルートからデータを収集する場合を除く)。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスを使用してフォルダーを指定する場合は、ファイル・パスの先頭をスラッシュにすることはできません (代わりに folder1/folder2 などと指定します)。
    領域名 SQS キューまたは S3 バケットが含まれているリージョン。

    例: us-east-1、eu-west-1、ap-northeast-3
    ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) 収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。
    ログ・ソース ID パターン (Log Source Identifier Pattern)

    このオプションは、「ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)」」が「はい」に設定されている場合に使用可能です。

    処理中のイベントのカスタム・ログ・ソース ID を定義する場合は、このオプションを使用します。 このフィールドは、カスタム・ログ・ソース ID を定義するためのキーと値のペアを受け入れます。ここで、キーは ID フォーマット・ストリングで、値は関連付けられた正規表現パターンです。 新しい行にパターンを入力することによって、複数のキー値ペアを定義できます。 複数のパターンが使用された場合、一致が見つかり、カスタム・ログ・ソース ID が返されるまで、それらのパターンは順番に評価されます。
    詳細オプションを表示 このオプションは、イベント・データをカスタマイズする場合に選択します。
    ファイル・パターン

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    プルするファイルに一致するファイル・パターンの正規表現を入力します (例: .*?\.json\.gz)。
    ローカル・ディレクトリー (Local Directory)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    ターゲット・イベント・コレクターのローカル・ディレクトリー。 このディレクトリーは、AWS S3 REST API プロトコルがイベントの取得を試行する前に存在している必要があります。
    S3 エンドポイントの URL (S3 Endpoint URL)

    このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。

    AWS REST API を照会するために使用されるエンドポイント URL。

    エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。 デフォルトは http://s3.amazonaws.com です。
    S3 パス形式アクセスの使用 (Use S3 Path-Style Access)

    パス形式アクセスを使用することを S3 要求に強制します。

    この方法は、AWS によって非推奨になっています。 ただし、他の S3 互換 API を使用する場合に、この方法が必要になることがあります。 例えば、バケット名にピリオド (.)が含まれている場合は、 https://s3.region.amazonaws.com/bucket-name/key-name パス・スタイルが自動的に使用されます。 したがって、このオプションは必須ではありませんが、使用することができます。
    プロキシーの使用 (Use Proxy)

    QRadar がプロキシーを使用して Amazon Web Service にアクセスする場合は、 「プロキシーの使用」を有効にします。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
    繰り返し (Recurrence) AWS S3 REST API プロトコルが、新規ファイルの有無を確認して (存在する場合は) 取得するために Amazon クラウド API に接続する頻度。 AWS S3 バケットにアクセスするたびに、バケットを所有するアカウントに対してコストが発生します。 このため、繰り返しの値を小さくするとコストが上昇します。

    新しいイベント・ログ・ファイルの有無を調べるためにリモート・ディレクトリーをスキャンする頻度を決定する時間間隔を入力します。 最小値は 1 分です。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、2H = 2 時間、15 M = 15 分です。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

    デフォルトは 5000 です。
  2. QRadar が正しく構成されていることを確認するには、 AWS Verified Access サンプル・イベント・メッセージを参照してください。