Amazon CloudFront のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Amazon CloudFront ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AWS_CLOUDFRONT が付加されたパーサーに適用されます。
始める前に
Amazon S3 バケットが作成されていることを確認します。詳細については、最初の S3 バケットを作成するをご覧ください。
Amazon CloudFront を構成する
- AWS Management コンソールにログインします。
- Amazon S3 コンソールにアクセスし、Amazon S3 バケットを作成します。
- [オン] をクリックしてロギングを有効にします。
- [Bucket for logs] フィールドに、Amazon S3 バケット名を指定します。
- [ログの接頭辞] フィールドに、接頭辞を指定します(省略可)。
- ログファイルが Amazon S3 バケットに保存されたら、SQS キューを作成して Amazon S3 バケットに関連付けます。
接続のエンドポイントを特定する
S3、SQS、KMS に必要な Identity and Access Management ユーザーと KMS 鍵ポリシーを確認します。
サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。
- ロギングソースの詳細については、AWS Identity and Access Management エンドポイントとクォータをご覧ください。
- S3 ロギング ソースの詳細については、Amazon Simple Storage Service エンドポイントとクォータをご覧ください。
- SQS ロギング ソースの詳細については、Amazon Simple Queue Service エンドポイントとクォータをご覧ください。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで、[単一フィードを設定] をクリックします。
- [Feed name] に一意の名前を入力します。
- [Source type] として [Amazon S3] または [Amazon SQS] を選択します。
- [ログタイプ] として [AWS CloudFront] を選択します。
- [次へ] をクリックします。
- Google SecOps は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
- 作成した Amazon CloudFront 構成に基づいて、次のフィールドの値を指定します。
- Amazon S3 を使用する場合は、次のフィールドに値を指定します。
- リージョン
- S3 URI
- URI は
- ソース削除オプション
- Amazon SQS を使用する場合は、次のフィールドに値を指定します。
- リージョン
- キュー名
- 口座番号
- Queue access key ID
- Queue secret access key
- ソース削除オプション
- Amazon S3 を使用する場合は、次のフィールドに値を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Amazon CloudFront ログを Amazon S3 バケットに送信するには、標準ログ(アクセスログ)を構成して使用するをご覧ください。
コンテンツ ハブからフィードを設定する
Google SecOps で取り込みフィードを構成するには、Amazon SQS(推奨)または Amazon S3 を使用します。
次のフィールドに値を指定します。
- リージョン: S3 バケットまたは SQS キューがホストされているリージョン。
- キュー名: ログデータの読み取り元となる SQS キューの名前。
- アカウント番号: SQS キューを所有するアカウント番号。
- Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例:
AKIAOSFOODNN7EXAMPLE - Queue Secret Access Key: 40 文字のシークレット アクセスキー。例:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY - ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SYSLOG 形式または JSON 形式の AWS CloudFront ログからフィールドを抽出し、UDM に正規化します。Grok パターンを使用してメッセージ文字列を解析し、さまざまなデータ変換(型変換、名前の変更など)を処理し、ユーザー エージェントの解析やアプリケーション プロトコルの識別などの追加コンテキストでデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
c-ip |
principal.ip |
直接マッピングされます。principal.asset.ip にもマッピングされます。 |
c-port |
principal.port |
直接マッピングされます。 |
cs(Cookie) |
additional.fields[].key: 「cookie」additional.fields[].value.string_value: 直接マッピングされます。 |
cs(Cookie) が存在し、agent に「://」が含まれていない場合、条件付きでマッピングされます。 |
cs(Host) |
principal.hostname |
直接マッピングされます。principal.asset.hostname にもマッピングされます。他の URL フィールドが使用できない場合に target.url の作成に使用されます。 |
cs(Referer) |
network.http.referral_url |
直接マッピングされます。 |
cs(User-Agent) |
network.http.user_agent |
直接マッピングされます。「://」が含まれていない場合は、network.http.parsed_user_agent にマッピングされ、そのコンポーネントに解析されます。 |
cs-bytes |
network.sent_bytes |
直接マッピングされます。符号なし整数に変換されます。 |
cs-method |
network.http.method |
直接マッピングされます。 |
cs-protocol |
network.application_protocol |
大文字に変換された後にマッピングされます。値が標準のアプリケーション プロトコルとして認識されず、cs-protocol-version に「HTTP」が含まれている場合、network.application_protocol は「HTTP」に設定されます。 |
dport |
target.port |
直接マッピングされます。整数に変換されます。 |
edge_location |
principal.location.name |
直接マッピングされます。 |
fle-encrypted-fields |
additional.fields[].key: 「fle-encrypted-fields」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
fle-status |
additional.fields[].key: 「fle-status」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
host |
principal.hostname、principal.asset.hostname |
直接マッピングされます。 |
id |
principal.asset_id |
接頭辞「id: 」付きで直接マッピングされます。 |
ip |
target.ip、target.asset.ip |
直接マッピングされます。 |
log_id |
metadata.product_log_id |
直接マッピングされます。 |
resource |
additional.fields[].key: 「resource」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
result_type |
additional.fields[].key: 「result_type」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
sc-bytes |
network.received_bytes |
直接マッピングされます。符号なし整数に変換されます。 |
sc-content-len |
additional.fields[].key: 「sc-content-len」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
sc-content-type |
additional.fields[].key: 「sc-content-type」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
sc-status |
network.http.response_code |
直接マッピングされます。整数に変換されます。 |
ssl-cipher |
network.tls.cipher |
直接マッピングされます。 |
ssl-protocol |
network.tls.version |
直接マッピングされます。 |
timestamp |
metadata.event_timestamp |
利用可能な場合は解析してマッピングされます。さまざまな形式がサポートされています。 |
ts |
metadata.event_timestamp |
利用可能な場合は解析され、マッピングされます。ISO8601 形式が想定されています。 |
url |
target.url |
直接マッピングされます。 |
url_back_to_product |
metadata.url_back_to_product |
直接マッピングされます。 |
x-edge-detailed-result-type |
additional.fields[].key: 「x-edge-detailed-result-type」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
x-edge-location |
additional.fields[].key: 「x-edge-location」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
x-edge-request-id |
additional.fields[].key: 「x-edge-request-id」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
x-edge-response-result-type |
additional.fields[].key: 「x-edge-response-result-type」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
x-edge-result-type |
additional.fields[].key: 「x-edge-result-type」additional.fields[].value.string_value: 直接マッピングされます。 |
存在する場合は条件付きでマッピングされます。 |
x-forwarded-for |
target.ip、target.asset.ip |
直接マッピングされます。複数の IP が存在する場合(カンマ区切り)、分割されてそれぞれの UDM フィールドに統合されます。 |
x-host-header |
target.hostname、target.asset.hostname |
直接マッピングされます。ip または x-forwarded-for と http_verb のいずれかが存在する場合は、「NETWORK_HTTP」に設定されます。それ以外の場合は、「GENERIC_EVENT」に設定されます。「AWS_CLOUDFRONT」にハードコードされています。「AWS CloudFront」にハードコードされます。「AMAZON」にハードコードされています。ログエントリが Google Security Operations に取り込まれた時間。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。