データ・ソース Amazon AWS S3 REST API を使用した コネクター SentinelOne ActiveEDR の構成

AWS S3 バケットを使用するときに SentinelOne ActiveEDR イベントを収集する場合は、Amazon AWS S3 REST API コネクターを使用して、 QRadar® 製品データ・ソース を追加します。

手順

  1. イベント を AWS S3 バケットに転送するように SentinelOne ActiveEDR を構成します。
  2. 以下の表を使用して、Amazon AWS S3 REST API コネクターを使用する SentinelOne ActiveEDR データ・ソース のパラメーターを設定します。
    表 1. Amazon AWS S3 REST API コネクター データ・ソース・ パラメーター
    パラメーター 説明
    データ・ソース・タイプ SentinelOne ActiveEDR
    コネクター・タイプ Amazon AWS S3 REST API
    認証方法
    アクセス・キー ID (Access Key ID)/ 秘密鍵 (Secret Key)
    どの場所からでも使用できる標準認証。
    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    EC2 インスタンス IAM ロール (EC2 Instance IAM Role)
    QRadar 製品の 管理対象ホストが AWS EC2 インスタンスで実行されている場合は、このオプションを選択して、認証のためにインスタンスに割り当てられたメタデータの IAM 役割 を使用します。 鍵は必要ありません。
    重要: この方法は、 AWS EC2 コンテナー内で実行されている管理対象ホストに対してのみ機能します。
    アクセス・キー ID

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」

    セキュリティー資格情報の構成について詳しくは、 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照してください。
    秘密鍵

    「認証方式」「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、このパラメーターを構成します。

    AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」。 この値は、AWS S3 バケットにアクセスするために使用される「秘密鍵 ID (Secret Key ID)」でもあります。

    セキュリティー資格情報の構成について詳しくは、以下を参照してください。 AWS ユーザー・アカウントのセキュリティー資格情報の構成を参照。
    S3 収集方式 以下のいずれかの収集方法を選択します。
    • SQS イベント通知
    • 特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)
    SQS キューの URL (SQS Queue URL)

    「S3 収集方式」「SQS イベント通知」を選択した場合は、このパラメーターを構成します。

    このフィールドは、https:// で始まる SWS セットアップの絶対 URL を使用して、S3 から ObjectCreate イベントに関する通知を受信します。 例えば、https://sqs.us-east-1.amazonaws.com/12345678910/sentinelOneCloudFunnelQueue

    詳しくは、公開サイト Web サイトへの Amazon S3 イベント通知の構成 リンク (https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html) を参照してください。

    確実にすべてのデータが処理され、ファイルが正常に処理された後にキューからメッセージが削除されるようにするには、この構成がこのキューの唯一のコンシューマーでなければなりません。
    バケット名

    「S3 収集方式」「特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)」を選択した場合は、このパラメーターを構成します。

    ログ・ファイルが格納されている AWS S3 バケットの名前。
    ディレクトリー接頭部 (Directory Prefix)

    「S3 収集方式」「特定の接頭部の使用 - 単一アカウント/リージョンのみ (Use a Specific Prefix - Single Account/Region Only)」を選択した場合は、このパラメーターを構成します。

    CloudTrail ログが取得される AWS S3 バケット上のルート・ディレクトリー・ロケーション (例: AWSLogs/<AccountNumber>/SentinelOneActiveEDR/<RegionName>/ )。

    バケットのルート・ディレクトリーからファイルをプルするには、 「ディレクトリー接頭部」 ファイル・パスにスラッシュ (/) を使用する必要があります。

    ヒント:
    • 「ディレクトリー接頭部 (Directory Prefix)」の値を変更すると、保持されているファイル・マーカーがクリアされます。 次回のプル実行時に、新しい接頭部に一致するすべてのファイルがダウンロードされます。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスの先頭をスラッシュ (/) にすることはできません (スラッシュだけを使用してバケットのルートからデータを収集する場合を除く)。
    • 「ディレクトリー接頭部 (Directory Prefix)」のファイル・パスを使用してフォルダーを指定する場合は、ファイル・パスの先頭をスラッシュにすることはできません (代わりに folder1/folder2 などと指定します)。
    領域名 SQS キューまたは S3 バケットが含まれているリージョン。

    例: us-east-1、eu-west-1、ap-northeast-3
    イベント・フォーマット 「LINEBYLINE」を選択します。 収集されるログ・ファイルには、1 行に 1 つのレコードが入ります。

    gzip (.gz または .gzip) および zip (.zip) を使用した圧縮がサポートされます。
    ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) このオプションは有効にしないでください。
    プロキシーの使用

    QRadar 製品 がプロキシーを使用して Amazon Web Service にアクセスする場合は、 「プロキシーの使用」を有効にします。

    プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

    プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
    サーバー証明書を自動的に獲得 リストから「はい」を選択すると、 QRadar 製品 は証明書をダウンロードし、ターゲット・サーバーを信頼して使用し始めます。

    この機能は、新しく作成されたログ・ソースを初期化し、最初に証明書を取得する場合、または期限切れの証明書を置き換える場合に使用できます。
    EPS スロットル このログ・ソースが超過可能な 1 秒当たりイベント数 (EPS) の最大値。 デフォルトは 5000 です。

    「EPS スロットル」 をブランクのままにすると、 QRadar 製品によって制限が課されることはありません。 「EPS スロットル」の値が着信レートよりも高いことを確認してください。そうしなければ、データ処理が遅くなる可能性があります。

    Amazon AWS REST API コネクターについて詳しくは、 Amazon AWS REST API コネクター の構成オプションを参照してください。