AWS Config ログを収集する

以下でサポートされています。

このドキュメントでは、CloudTrail ログを保存する新しい S3 バケットを作成する方法と、AWS からログフィードを取得する IAM ユーザーを作成する方法について説明します。AWS Config は、AWS アカウントの AWS リソースの構成の詳細なビューを提供します。これには、リソース間の関連性と過去の構成が含まれます。これにより、構成と関係が時間の経過とともにどのように変化するかを確認できます。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • AWS への特権アクセス

CloudTrail と AWS S3 バケットを構成する

  1. AWS Management Console にログインします。
  2. Amazon S3 コンソールに移動します。
  3. AWS コンソールで「Cloudtrail」を検索します。
  4. [トレイルを作成] をクリックします。
  5. [Trail name] を指定します。
  6. [新しい S3 バケットを作成する] を選択します(既存の S3 バケットを使用することもできます)。

  7. [AWS KMS] エイリアスの名前を指定するか、既存の AWS KMS 鍵を選択します。

  8. [次へ] をクリックします。

  9. [イベントタイプ] を選択し、[データイベント] を追加します。

  10. [次へ] をクリックします。

  11. 設定を確認し、[Create trail] をクリックします。

  12. AWS コンソールで「S3 バケット」を検索します。

  13. 新しく作成したログバケットをクリックし、[AWSLogs] フォルダを選択します。

  14. [Copy S3 URI] をクリックして保存します。

AWS Config API 呼び出しのロギングを構成する

  1. AWS で、[AWS Config] > [Set up AWS Config] に移動します。
  2. バケットの種類を選択します(既存のバケットの詳細を選択するか、新しいバケットを作成します)。
  3. 必要な AWS マネージドルールをすべて選択し、[次へ] をクリックしてバケットを選択します。
  4. 要件に基づいて適切なルールを選択するには、AWS Config でルールタイプの詳細を確認してください。
    • コンプライアンス ルール: リソースの構成を評価して、コンプライアンス標準または規制要件を満たしていることを確認できます。
    • 構成ルール: リソースの構成を評価して、必要な構成標準を満たしていることを確認できます。
    • パフォーマンス ルール: リソースの構成を評価して、パフォーマンスが最適化されていることを確認できます。
    • セキュリティ ルール: リソースの構成を評価して、セキュリティ基準または要件を満たしていることを確認できます。
  5. [構成を作成] をクリックします。
  6. Amazon S3 に移動します。
  7. 新しく作成したログバケットをクリックし、フォルダ [AWSLogs] を選択します。
  8. [Copy S3 URI] をクリックして保存します。

AWS IAM ユーザーを構成する

  1. AWS コンソールで [IAM] を検索します。
  2. [ユーザー] をクリックします。
  3. [ユーザーを追加] をクリックします。
  4. ユーザーの名前を指定します(例: chronicle-feed-user)。
  5. AWS 認証情報タイプとして [アクセスキー - プログラムによるアクセス] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [既存のポリシーを直接アタッチする] を選択します。
  8. [AmazonS3ReadOnlyAccess] または [AmazonS3FullAccess] を選択します。
  1. [Next: Tags] をクリックします。
  2. 省略可: 必要に応じてタグを追加します。
  3. [次へ: 確認] をクリックします。
  4. 構成を確認し、[ユーザーを作成] をクリックします。
  5. 作成したユーザーのアクセスキー ID とシークレット アクセスキーをコピーします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード] > [新規追加]
  • Content Hub > Content Packs > Get Started

AWS Config フィードを設定する方法

  1. [Amazon Cloud Platform] パックをクリックします。
  2. AWS Config ログタイプを見つけます。

  3. 次のフィールドで値を指定します。

    • ソースタイプ: Amazon SQS V2
    • キュー名: 読み取る SQS キュー名
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。

    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。

    • SQS キュー アクセスキー ID: 20 文字の英数字の文字列であるアカウント アクセスキー。

    • SQS キューのシークレット アクセスキー: 40 文字の英数字の文字列であるアカウント アクセスキー。

    詳細オプション

    • フィード名: フィードを識別する事前入力された値。
    • アセットの名前空間: フィードに関連付けられた名前空間。
    • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

  4. [フィードを作成] をクリックします。

このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

UDM マッピング

ログフィールド UDM マッピング ロジック
ARN target.resource.id 値は ARN フィールドから取得されます。
awsAccountId principal.user.userid 値は awsAccountId フィールドから取得されます。
awsRegion target.asset.location.country_or_region 値は awsRegion フィールドから取得されます。
configurationItem.awsAccountId principal.user.userid 値は configurationItem.awsAccountId フィールドから取得されます。
configurationItem.configurationItemCaptureTime target.asset.attribute.creation_time 値は configurationItem.configurationItemCaptureTime フィールドから取得され、タイムスタンプに変換されます。
configurationItem.configurationItemStatus target.asset.attribute.labels.value 値は configurationItem.configurationItemStatus フィールドから取得されます。キーは「構成アイテムのステータス」に設定されます。
configurationItem.relationships.name additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.name フィールドから取得されます。キーは「configurationItem.relationships.resource_names」に設定されます。
configurationItem.relationships.resourceId additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.resourceId フィールドから取得されます。キーは「configurationItem.relationships.resource_ids」に設定されます。
configurationItem.relationships.resourceType additional.fields.value.list_value.values.string_value 値は configurationItem.relationships.resourceType フィールドから取得されます。キーは「configurationItem.relationships.resource_types」に設定されます。
configurationItem.resourceId target.resource.id 値は configurationItem.resourceId フィールドから取得されます。
configurationItem.resourceType target.resource.resource_subtype 値は configurationItem.resourceType フィールドから取得されます。
なし metadata.event_type configurationItemDiff.changeType が「UPDATE」の場合、metadata.event_type は「RESOURCE_WRITTEN」に設定されます。configurationItemDiff.changeType が「CREATE」の場合、metadata.event_type は「RESOURCE_CREATION」に設定されます。configurationItem.configurationItemStatus が「OK」または「ResourceDiscovered」の場合、metadata.event_type は「RESOURCE_READ」に設定されます。configurationItem.configurationItemStatus が「ResourceDeleted」の場合、metadata.event_type は「RESOURCE_DELETION」に設定されます。これらの条件のいずれも満たされない場合、metadata.event_type は「GENERIC_EVENT」に設定されます。
なし metadata.log_type 「AWS_CONFIG」に設定します。
なし metadata.product_name 「AWS Config」に設定します。
なし metadata.vendor_name 「AMAZON」に設定します。
なし target.asset.attribute.cloud.environment 「AMAZON_WEB_SERVICES」に設定します。
なし target.resource.resource_type 「VIRTUAL_MACHINE」に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。