AWS(CloudTrail)収集:構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、AWS(CloudTrail)イベント ソース構成パラメーターについて説明します。

AWS収集の構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[プラグ イン]と[構成]を選択します。

AddAWSSrc3.PNG

[イベント ソース]タブの[プラグイン/構成]ビューには、[イベント カテゴリー]と[ソース]の2つのパネルがあります。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルで、適切なイベント ソース タイプを追加または削除できます。

                         
機能説明
Icon-Add.png イベント ソースを追加します。[使用可能なイベント ソース タイプ]ダイアログを表示します。このダイアログで、パラメータを定義するイベント ソース タイプを選択します。
Icon_Delete_sm.png 選択したイベント ソース タイプを[イベント カテゴリー]パネルから削除します。
Checkbox.png イベント ソース タイプを選択します。
名前追加したイベント ソース タイプの名前を表示します。

[使用可能なイベント ソース タイプ]ダイアログ

[使用可能なイベント ソース タイプ]ダイアログでは、サポート対象のイベント ソース タイプのリストが表示されます。

                         
機能説明
Checkbox.png 追加するイベント ソース タイプの名前を選択します。
タイプ追加できるイベント ソース タイプを表示します。
キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OK選択したイベント ソース タイプを[イベント カテゴリー]パネルに追加します。

[ソース]パネル

AWS(CloudTrail)の[ソース]パネルには、既存のAWS(CloudTrail)イベント ソースのリストが表示されます。このパネルを使用して、イベント ソースおよび関連する通信パラメータを追加または削除します。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                                    
機能説明
Icon-Add.png [ソースの追加]ダイアログが表示され、AWS(CloudTrail)ホストのパラメータを定義することができます。
Icon_Delete_sm.png 選択したホストを削除します。
icon-edit.png

[ソースの編集]ダイアログが開き、選択したAWS(CloudTrail)イベント ソースのパラメーターを編集することができます。

複数のイベント ソースを選択して、icon-edit.pngをクリックすると、選択したイベント ソースのパラメータ値を編集するための[ソースの一括編集]ダイアログが開きます。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

ImportSourceIcon.PNG

[一括追加オプション]ダイアログを開きます。このダイアログで、CSV(コンマ区切り)ファイルから一括でAWS(CloudTrail)ホストをインポートできます。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

ExportSourceIcon.PNG

選択したAWS(CloudTrail)ホストのパラメーターを含む.csvファイルを作成します。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

testConnection.PNG 選択したAWS(CloudTrail)ホストの構成パラメータを検証します。 

イベント ソース接続のテストを一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

[ソースの追加]または[ソースの編集]ダイアログ

[ソースの追加]ダイアログと[ソースの編集]には同じ情報が含まれます。

イベント ソース アドレスへの接続を確認します。

                                                                                     
パラメータ説明
パラメータ説明
基本
名前*イベント ソースの名前です。
有効Checkbox.pngイベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
アカウントID*S3バケットのアカウント識別コード
S3バケット名*

AWS(CloudTrail)S3バケットの名前。

Amazon S3バケットの名前は、バケットを作成したAWS(CloudTrail)のリージョンには関係なく、グローバルに一意です。名前はバケットの作成時に指定します。

バケット名はDNSの命名規則に従う必要があります。DNSに準拠したバケット名の規則は次のとおりです。

  • バケット名は3文字以上63文字以下の長さの文字列とする。
  • バケット名は1つ以上のラベルを連結したものとする。隣接するラベルはピリオド1文字「.」で区切る。バケット名には小文字、数字、ハイフンを使用できる。各ラベルの最初と最後の文字は、小文字また数字とする。
  • バケット名をIPアドレスのような形式で指定してはならない(たとえば192.168.5.4)など。

有効なバケット名の例を次に示します。

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

無効なバケット名の例を次に示します。

  • .myawsbucket:バケット名の先頭にはピリオド「.」を使用できません。
  • myawsbucket. :バケット名の末尾にもピリオド「.」は使用できません。
  • my..examplebucket:ラベルの間のピリオドは1つしか使用できません。
アクセスキー*S3バケットへのアクセスに使用するキー。アクセスキーはAWSサービスAPIに対して安全なRESTリクエストまたはクエリー プロトコル リクエストを作成するために使用します。 アクセスキーの詳細は、Amazon Web Servicesサポート サイトの「Manage User Credentials」を参照してください。
シークレット キー*S3バケットへのアクセスに使用するシークレット キー。
リージョン*S3バケットのリージョン。us-east-1がデフォルト値です。
開始日*AWS(CloudTrail)収集を初めて開始した日時。
ログ ファイル プレフィックス

収集処理するファイルのプレフィックス。

注:CloudTrailサービス側の設定でプレフィックスを指定した場合は、このパラメータにも必ず同じプレフィックスを入力してください。

拡張
Debug

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

コマンド引数スクリプトに追加する引数。
ポーリング間隔ポーリングの間隔(秒)です。デフォルト値は60です。

たとえば、60と指定すると、Collectorは、イベント ソースへのポーリングを60秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに60秒より長くかかる場合があります。
SSLが有効Checkbox.png

SSLを使用して通信する場合は、このチェックボックスをオンにします。暗号化とSSL証明書による認証によってデータ転送のセキュリティが実装されます。

このチェックボックスは、デフォルトでオンになっています。

接続のテストこのダイアログで指定した構成パラメーターが正しいことを検証します。  たとえば、このテストでは次の項目を検証します。
  • このダイアログで指定した認証情報を使用してSecurity AnalyticsがAWSのS3バケットと接続できるか。
  • Security Analyticsがバケットからログ ファイルをダウンロードできるか(バケットにログ ファイルが全くない場合にはテストは失敗しますが、そのような可能性はほとんどありません)。
キャンセルAWS(CloudTrail)を追加せずにダイアログを閉じます。
OK現在のパラメーター値を新しいAWS(CloudTrail)として追加します。

タスク

ステップ1:Security AnalyticsでのAWS(CloudTrail)イベント ソースの構成

You are here
Table of Contents > AWS(CloudTrail)収集構成ガイド > 参考資料:AWS(CloudTrail)収集の構成パラメータ

Attachments

    Outcomes