AWS(CloudTrail)イベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、AWS(Amazon Web Services)CloudTrailからイベントを収集する、AWS収集プロトコルを構成する方法について説明します。

注:AWSプラグインは、AWS CloudTrailログからの収集だけを指し、S3バケット(任意のディレクトリ下)にある任意のログからの収集のことは指しません。AWS CloudTrailログはJSON形式で送信されます。この形式については、AWSのドキュメント(http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html)で詳しく説明されています。

AWS収集の仕組み

Log Collectorサービスは、AWS(Amazon Web Services)CloudTrailからイベントを収集します。CloudTrailは、アカウントのAWS API呼び出しを記録します。イベントには、API呼び出し元のID、APIコールの時刻、API呼び出し元のソースIPアドレス、リクエスト パラメータ、AWSサービスによって返されるレスポンス構成要素が含まれます。CloudTrailイベントによって提供されるAWS API呼び出し履歴により、セキュリティ分析、リソース変更トラッキング、コンプライアンス監査を実行できます。CloudTrailでは、ログ ファイルの保存と配布にAmazon S3を使用します。NetWitness Suiteは、クラウド(S3バケット)からログ ファイルをコピーし、ファイルに含まれているイベントをLog Collectorに送信します。

導入のシナリオ

次の図に、NetWitness SuiteにAWS収集プロトコルを導入する方法を示します。

Diagram shows AWS (CloudTrail) sending events to the local and remote collectors.

構成

AWS(CloudTrail)イベント ソースを構成するには、次の手順を実行します。

  1. NetWitness Suiteメニューから[管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

    Event Sources tab is displayed.

  1. イベント ソース]タブで、ドロップダウン メニューから[プラグイン]と[構成]を選択します。
  2. イベント カテゴリ]パネル ツールバーで、をクリックします。

    使用可能なイベント ソース タイプ]ダイアログが表示されます。

  3. cloudtrailを選択し、[OK]をクリックします。

    新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  4. イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。

    ソースの追加]ダイアログが表示されます。

  5. パラメータ値を定義します。詳細については、以下の「NetWitness SuiteでのAWS(CloudTrail)イベント ソースの構成」を参照してください。
  6. 接続のテスト]をクリックします。

    テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。

    Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、NetWitness Suiteはエラー メッセージを表示します。

  7. テストが正常に実行された場合は、[OK]をクリックします。

    新しいイベント ソースが[ソース]パネルに表示されます。

AWSパラメータ

次の表に、AWSコレクションで使用できる構成パラメータについて説明します。

                                                                                                             
パラメータ説明
パラメータ説明
基本
名前*イベント ソースの名前です。
有効化イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
アカウントID*S3バケットのアカウント識別コード
S3バケット名*

AWS(CloudTrail)S3バケットの名前。

Amazon S3バケットの名前は、バケットを作成したAWS(CloudTrail)のリージョンには関係なく、グローバルに一意です。名前はバケットの作成時に指定します。

バケット名はDNSの命名規則に従う必要があります。DNSに準拠したバケット名の規則は次のとおりです。

  • バケット名は3文字以上63文字以下の長さの文字列とする。
  • バケット名は1つ以上のラベルを連結したものとする。隣接するラベルはピリオド1文字「.」で区切る。バケット名には小文字、数字、ハイフンを使用できる。各ラベルの最初と最後の文字は、小文字また数字とする。
  • バケット名をIPアドレスのような形式で指定してはならない(たとえば192.168.5.4)など。

有効なバケット名の例を次に示します。

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

無効なバケット名の例を次に示します。

  • .myawsbucket:バケット名の先頭にはピリオド「.」を使用できません。
  • myawsbucket. :バケット名の末尾にもピリオド「.」は使用できません。
  • my..examplebucket:ラベルの間のピリオドは1つしか使用できません。
アクセスキー*

S3バケットへのアクセスに使用するキー。アクセスキーはAWSサービスAPIに対して安全なRESTリクエストまたはクエリ プロトコル リクエストを作成するために使用します。 アクセスキーの詳細は、Amazon Web Servicesサポート サイトの「Manage User Credentials」を参照してください。

シークレット キー*S3バケットへのアクセスに使用するシークレット キー。
リージョン*S3バケットのリージョン。us-east-1がデフォルト値です。
リージョン エンドポイント

AWS CloudTrailホスト名を指定します。

たとえば、us-eastリージョンのAWSパブリック クラウド では、リージョン エンドポイントはs3.amazonaws.comです。 詳細については、http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_regionを参照してください。このパラメータは AWSガバメントまたはプライベート クラウドからCloudTrailログを収集するために 必要です。

プロキシを使用

プロキシを使用する]を有効にして、AWSサーバのプロキシを設定します。デフォルトでは無効です。

プロキシ サーバ

AWSサーバにアクセスするために接続するプロキシ名を入力します。

プロキシ ポート

AWSサーバにアクセスするプロキシ サーバに接続するポート番号を入力

します。

プロキシ ユーザ

プロキシ サーバを使用して認証するユーザ名を入力します。

プロキシ パスワード

プロキシ ポートを使用して認証するユーザのパスワードを入力します。

開始日* その時点のタイムスタンプから指定日数分過去にさかのぼって、AWS(CloudTrail)コレクションを開始します。 デフォルト値は0で、当日から開始します。 範囲は0~89日です。
ログ ファイル プレフィックス

収集処理するファイルのプレフィックス。

注:CloudTrailサービス側の設定でプレフィックスを指定した場合は、このパラメータにも必ず同じプレフィックスを入力してください。

詳細
デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ ログを有効または無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

コマンド引数スクリプトに追加する引数。
ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は60です。

たとえば、60と指定すると、Collectorは、イベント ソースへのポーリングを60秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに60秒より長くかかる場合があります。

SSLが有効

SSLを使用して通信する場合は、このチェックボックスをオンにします。暗号化とSSL証明書による認証によってデータ転送のセキュリティが実装されます。

このチェックボックスは、デフォルトでオンになっています。

接続のテスト

このダイアログで指定した構成パラメータが正しいことを検証します。  たとえば、このテストでは次の項目を検証します。

  • このダイアログで指定した認証情報を使用してNetWitnessがAWSのS3バケットと接続できるか。
  • NetWitnessがバケットからログ ファイルをダウンロードできるか(バケットにログ ファイルが全くない場合にはテストは失敗しますが、そのような可能性はほとんどありません)。
キャンセルAWS(CloudTrail)を追加せずにダイアログを閉じます。
OK現在のパラメータ値を新しいAWS(CloudTrail)として追加します。
Previous Topic:収集プロトコル
You are here
Table of Contents > 収集プロトコル > AWS(CloudTrail)イベント ソースの構成

Attachments

    Outcomes