Amazon CloudWatch データ・ソースへの接続

Amazon CloudWatch データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが Amazon CloudWatch セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

1. メニュー > 「接続」 > 「データ・ソース」に移動します。
2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
3. データ・ソース・タイプを選択します。
4. データ・ソースへの接続を構成します。
   1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
   2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
   3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
   4. 「地域」 フィールドに、データ・ソースの CloudWatch 地域を指定します。 「 AWS 一般リファレンス・ガイド 」(https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) の「サービス・エンドポイント」テーブルの「地域」列から地域コードを選択します。
   5. 「ログ・グループ名」 フィールドに、接続先の CloudWatch ログのログ・グループ名を指定します。 ログ・グループ名が指定されていない場合、使用可能なすべてのログ・グループが接続されます。
      このフィールドはオプションです。 「ログ・グループ名 (Log group names)」の値は、特定の JSON 形式を使用する必要があります。

      {"<service_type>": "<service_log_group_name>"}

      例:

      {"vpcflow": "vpcflow_log_group_name"}

      複数のサービス・タイプからログを取得する場合は、サービス・タイプとそれに関連するログ・グループ名をコンマで区切って JSON で指定できます。 例:

      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}

5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
   1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
   2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
   3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
   4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
   重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
6. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
7. ID およびアクセス権限を構成します。
   1. 「構成の追加」をクリックします。
   2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
   3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
   4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
   5. AWS 認証を確立して、 AWS 検索 API へのアクセスを有効にします。
      • AWS 鍵ベースの認証を確立するには、 AWS Access key id および AWS secret access key パラメーターに値を入力します。
      • AWS 役割ベースの認証を確立するには、 AWS アクセス・キー ID、 AWS 秘密アクセス・キー、および AWS IAM 役割 の各パラメーターの値を入力します。

      AWS 認証について詳しくは、 AWS 認証の構成を参照してください。
   6. CloudWatch が自己署名 Security Sockets Layer (SSL) 証明書を使用して構成されている場合は、接続証明書を追加します。

      自己署名証明書を使用していることを確認するために、Web で「ssl decode」を検索してから、証明書をコピーして、Certificate Decoder に貼り付けることができます。 「共通名」 フィールドの値がローカルの場合 (例: yourlocalhost.yourlocaldomain)、自己署名証明書であることを示します。

      証明書の詳細をコピーして、表示されるスペースに貼り付けます。

   7. 「追加」をクリックします。
   8. 構成を保存して接続を確立するには、 「完了」をクリックします。
   追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。

   データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。

   ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

   このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

8. 構成を編集するには、以下の手順を実行します。
   1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
   2. 「構成」 セクションで、 「構成の編集」 () をクリックします。
   3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。