AWS Config ログを収集する

以下でサポートされています。

このドキュメントでは、CloudTrail ログを保存する新しい S3 バケットを作成する方法と、AWS からログフィードを取得する IAM ユーザーを作成する方法について説明します。AWS Config は、AWS アカウントの AWS リソースの構成の詳細なビューを提供します。これには、リソース間の関連性と過去の構成が含まれます。これにより、構成と関係が時間の経過とともにどのように変化するかを確認できます。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • AWS への特権アクセス

CloudTrail と AWS S3 バケットを構成する

  1. AWS Management Console にログインします。
  2. Amazon S3 コンソールに移動します。
  3. AWS コンソールで「Cloudtrail」を検索します。
  4. [トレイルを作成] をクリックします。
  5. [Trail name] を指定します。
  6. [新しい S3 バケットを作成する] を選択します(既存の S3 バケットを使用することもできます)。

  7. [AWS KMS] エイリアスの名前を指定するか、既存の AWS KMS 鍵を選択します。

  8. [次へ] をクリックします。

  9. [イベントタイプ] を選択し、[データイベント] を追加します。

  10. [次へ] をクリックします。

  11. 設定を確認し、[Create trail] をクリックします。

  12. AWS コンソールで「S3 バケット」を検索します。

  13. 新しく作成したログバケットをクリックし、[AWSLogs] フォルダを選択します。

  14. [Copy S3 URI] をクリックして保存します。

AWS Config API 呼び出しのロギングを構成する

  1. AWS で、[AWS Config] > [Set up AWS Config] に移動します。
  2. バケットの種類を選択します(既存のバケットの詳細を選択するか、新しいバケットを作成します)。
  3. 必要な AWS マネージドルールをすべて選択し、[次へ] をクリックしてバケットを選択します。
  4. 要件に基づいて適切なルールを選択するには、AWS Config でルールタイプの詳細を確認してください。
    • コンプライアンス ルール: リソースの構成を評価して、コンプライアンス標準または規制要件を満たしていることを確認できます。
    • 構成ルール: リソースの構成を評価して、必要な構成標準を満たしていることを確認できます。
    • パフォーマンス ルール: リソースの構成を評価して、パフォーマンスが最適化されていることを確認できます。
    • セキュリティ ルール: リソースの構成を評価して、セキュリティ基準または要件を満たしていることを確認できます。
  5. [構成を作成] をクリックします。
  6. Amazon S3 に移動します。
  7. 新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。
  8. [Copy S3 URI] をクリックして保存します。

AWS IAM ユーザーを構成する

  1. AWS コンソールで [IAM] を検索します。
  2. [ユーザー] をクリックします。
  3. [ユーザーを追加] をクリックします。
  4. ユーザーの名前を指定します(例: chronicle-feed-user)。
  5. AWS 認証情報タイプとして [アクセスキー - プログラムによるアクセス] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [既存のポリシーを直接アタッチする] を選択します。
  8. [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。
  1. [Next: Tags] をクリックします。
  2. 省略可: 必要に応じてタグを追加します。
  3. [次へ: 確認] をクリックします。
  4. 構成を確認し、[ユーザーを作成] をクリックします。
  5. 作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: AWS Config Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] で [AWS Config] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。
      • s3:/BUCKET_NAME
        • BUCKET_NAME は、実際の S3 バケットの名前に置き換えます。
    • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI_TYPE を選択します。
    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

    • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
  • S3 URI: バケット URI。
    • s3:/BUCKET_NAME
      • BUCKET_NAME は、実際の S3 バケットの名前に置き換えます。
  • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI_TYPE を選択します。
  • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

  • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

  • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング

ログフィールド UDM マッピング ロジック
ARN target.resource.id 値は ARN フィールドから取得されます。
awsAccountId principal.user.userid 値は awsAccountId フィールドから取得されます。
awsRegion target.asset.location.country_or_region 値は awsRegion フィールドから取得されます。
configurationItem.awsAccountId principal.user.userid 値は configurationItem.awsAccountId フィールドから取得されます。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 値は configurationItem.configurationItemCaptureTime フィールドから取得され、タイムスタンプに変換されます。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 値は configurationItem.configurationItemStatus フィールドから取得されます。キーは「Configuration Item Status」に設定されます。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.name フィールドから取得されます。キーは「configurationItem.relationships.resource_names」に設定されます。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.resourceId フィールドから取得されます。キーは「configurationItem.relationships.resource_ids」に設定されます。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.resourceType フィールドから取得されます。キーは「configurationItem.relationships.resource_types」に設定されます。
configurationItem.resourceId target.resource.id 値は configurationItem.resourceId フィールドから取得されます。
configurationItem.resourceType target.resource.resource_subtype 値は configurationItem.resourceType フィールドから取得されます。
なし metadata.event_type configurationItemDiff.changeType が「UPDATE」の場合、metadata.event_type は「RESOURCE_WRITTEN」に設定されます。configurationItemDiff.changeType が「CREATE」の場合、metadata.event_type は「RESOURCE_CREATION」に設定されます。configurationItem.configurationItemStatus が「OK」または「ResourceDiscovered」の場合、metadata.event_type は「RESOURCE_READ」に設定されます。configurationItem.configurationItemStatus が「ResourceDeleted」の場合、metadata.event_type は「RESOURCE_DELETION」に設定されます。上記の条件のいずれも満たされない場合、metadata.event_type は「GENERIC_EVENT」に設定されます。
なし metadata.log_type 「AWS_CONFIG」に設定します。
なし metadata.product_name 「AWS Config」に設定します。
なし metadata.vendor_name 「AMAZON」に設定します。
なし target.asset.attribute.cloud.environment 「AMAZON_WEB_SERVICES」に設定します。
なし target.resource.resource_type 「VIRTUAL_MACHINE」に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。