SQS キューを含む S3 バケットを使用した Amazon AWS Route 53 データ・ソース の構成

複数のアカウントまたはリージョンから 1 つの Amazon S3 バケットに AWS Route 53 Resolver クエリー・ログを収集できます。 Amazon AWS S3 REST API コネクター および Simple Queue Service (SQS) キューを使用して、Amazon AWS Route 53 が QRadar 製品 と通信できるように、 QRadar® 製品データ・ソース を構成します。

このタスクについて

ディレクトリー接頭部の代わりに Amazon AWS S3 REST API コネクター および Simple Queue Service (SQS) キューを使用すると、以下のような利点があります。
  • S3 バケットには、リージョンとアカウントごとに 1 つの データ・ソース ではなく、1 つの データ・ソース を使用できます。
  • この方法は、ObjectCreated 通知を使用して新しいファイルの準備ができているかを判断するため、ファイルが失われる可能性が低くなります。
  • ディレクトリー接頭部方式とは異なり、SQS キュー方式では、フォルダー内のファイル名は絶対パスに基づいて昇順でソートされたストリングである必要はありません。 カスタム・アプリケーションからのファイル名は、常にこの方式に準拠しているとは限りません。
  • SQS キューをモニターし、レコードが特定の数を超えた場合には、アラートをセットアップできます。 これらのアラートは、 QRadar 製品 がイベントを収集しているかどうかに関する情報を提供します。
  • SQS を使用した IAM ロール認証を使用することができます。これは、Amazon のセキュリティーのベスト・プラクティスです。

手順

  1. リゾルバー照会ロギングを構成します。 この手順のステップ 5 で、クエリー・ログの宛先として「S3 bucket」を選択します。
  2. ObjectCreated 通知の受信に使用される SQS キューを作成します
  3. Amazon AWS Identity and Access Management (IAM) ユーザーを作成し、 AmazonS3ReadOnlyAccess ポリシーを適用します。
  4. AWS ユーザー・アカウントのセキュリティー資格情報を構成します
  5. SWS キュー使用時の Amazon AWS Route 53 の Amazon AWS S3 REST API データ・ソース パラメーター.