AWS Macie ログを収集する

以下でサポートされています。

このドキュメントでは、AWS Macie ログを Google Security Operations に取り込む方法について説明します。AWS Macie は、機械学習を使用して機密データを自動的に検出、分類、保護するセキュリティ サービスです。この統合により、Macie ログを Google SecOps に送信して、分析とモニタリングを強化できます。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • AWS への特権アクセス

Amazon S3 と IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で使用するために、バケットの名前リージョンを保存します。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成した [ユーザー] を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

省略可: AWS Macie を構成する

  1. AWS Management Console にログインします。
  2. 検索バーに「Macie」と入力し、サービスリストから [Macie] を選択します。
  3. [ジョブを作成] をクリックします。
  4. 新しいバケットを作成するか、既存のバケットを使用します。
  5. ジョブのスケジュールを追加します。
  6. すべてのマネージド データ識別子を選択します。
  7. [カスタム データ識別子を選択] をスキップして、[次へ] をクリックします。
  8. [許可リストを選択] をスキップして、[次へ] をクリックします。
  9. わかりやすい名前と説明を入力します。
  10. [次へ] をクリックします。
  11. 内容を確認して [送信] をクリックします。

AWS Macie 用に CloudTrail を構成する方法

  1. AWS Management Console にログインします。

  2. 検索バーに「CloudTrail」と入力し、サービスリストから [CloudTrail] を選択します。

  3. 新しいトレイルを作成する場合は、[トレイルを作成] をクリックします。

  4. [Trail name](例: Macie-Activity-Trail)を指定します。

  5. [組織内のすべてのアカウントで有効にする] チェックボックスをオンにします。

  6. 前に作成した S3 バケット URI(形式は s3://your-log-bucket-name/)を入力するか、新しい S3 バケットを作成します。

  7. SSE-KMS が有効になっている場合は、[AWS KMS Alias] の名前を指定するか、[既存の AWS KMS 鍵] を選択します。

  8. その他の設定はデフォルトのままにします。

  9. [次へ] をクリックします。

  10. [イベントタイプ] で [管理イベント] と [データイベント] を選択します。

  11. [次へ] をクリックします。

  12. [Review and create] で設定を確認します。

  13. [トレイルを作成] をクリックします。

  14. 省略可: 新しいバケットを作成した場合は、次のプロセスに進みます。

    1. S3 に移動します。
    2. 新しく作成したログバケットを特定して選択します。
    3. フォルダ [AWSLogs] を選択します。
    4. [Copy S3 URI] をクリックして保存します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: AWS Macie Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] として [AWS Macie] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
    • URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。

    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

    • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
  • S3 URI: バケット URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
  • URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
  • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

  • アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

  • シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
accountId principal.group.product_object_id accountId フィールドから直接マッピングされます。
category security_result.category_details category フィールドから直接マッピングされます。
classificationDetails.jobArn security_result.rule_name classificationDetails.jobArn フィールドから直接マッピングされます。
classificationDetails.jobId security_result.rule_id classificationDetails.jobId フィールドから直接マッピングされます。
classificationDetails.originType security_result.rule_type classificationDetails.originType フィールドから直接マッピングされます。
classificationDetails.result.mimeType target.file.mime_type classificationDetails.result.mimeType フィールドから直接マッピングされます。
classificationDetails.result.sensitiveData.category security_result.detection_fields.value classificationDetails.result.sensitiveData.category フィールドから直接マッピングされます。パーサーは sensitiveData 配列を反復処理し、複数の detection_fields オブジェクトを作成します。
classificationDetails.result.sensitiveData.totalCount security_result.detection_fields.value classificationDetails.result.sensitiveData.totalCount フィールドから直接マッピングされます。パーサーは sensitiveData 配列を反復処理し、複数の detection_fields オブジェクトを作成します。
createdAt metadata.event_timestamp createdAt フィールドから解析され、UDM タイムスタンプ形式に変換されます。
description security_result.description description フィールドから直接マッピングされます。
id metadata.product_log_id id フィールドから直接マッピングされます。パーサーで SCAN_FILE にハードコードされます。未加工ログの最上位の log_type フィールドから取得されます。パーサーで AWS Macie にハードコードされます。schemaVersion フィールドから直接マッピングされます。パーサーで AMAZON にハードコードされます。resourcesAffected.s3Bucket.nameregion、文字列「.s3.amazonaws.com」を連結したものです。
region target.location.name region フィールドから直接マッピングされます。
resourcesAffected.s3Bucket.arn target.resource_ancestors.product_object_id resourcesAffected.s3Bucket.arn フィールドから直接マッピングされます。
resourcesAffected.s3Bucket.createdAt target.resource_ancestors.attribute.creation_time resourcesAffected.s3Bucket.createdAt フィールドから解析され、UDM タイムスタンプ形式に変換されます。
resourcesAffected.s3Bucket.name target.resource_ancestors.name resourcesAffected.s3Bucket.name フィールドから直接マッピングされます。
resourcesAffected.s3Bucket.owner.displayName target.user.user_display_name resourcesAffected.s3Bucket.owner.displayName フィールドから直接マッピングされます。
resourcesAffected.s3Bucket.owner.id target.user.userid resourcesAffected.s3Bucket.owner.id フィールドから直接マッピングされます。
resourcesAffected.s3Object.eTag target.file.md5 resourcesAffected.s3Object.eTag フィールドから直接マッピングされます。
resourcesAffected.s3Object.key target.file.names resourcesAffected.s3Object.key フィールドから直接マッピングされます。
resourcesAffected.s3Object.key target.resource.name resourcesAffected.s3Object.key フィールドから直接マッピングされます。
resourcesAffected.s3Object.lastModified target.resource.attribute.last_update_time resourcesAffected.s3Object.lastModified フィールドから解析され、UDM タイムスタンプ形式に変換されます。
resourcesAffected.s3Object.path target.file.full_path 「s3://」の接頭辞が付き、resourcesAffected.s3Object.path フィールドからマッピングされます。
resourcesAffected.s3Object.path target.resource.product_object_id resourcesAffected.s3Object.path フィールドから直接マッピングされます。
resourcesAffected.s3Object.size target.file.size 符号なし整数に変換した後、resourcesAffected.s3Object.size フィールドから直接マッピングされます。
resourcesAffected.s3Object.storageClass target.resource.attribute.labels.value resourcesAffected.s3Object.storageClass フィールドから直接マッピングされます。キーは「storageClass」にハードコードされています。パーサーで DATA_AT_REST にハードコードされます。
security_result.detection_fields.key categorytotalCount 検出フィールドのハードコードされたキー。
severity.description security_result.severity severity.description フィールドからマッピングされます。「Low」は LOW に、「Medium」は MEDIUM に、「High」は HIGH にマッピングされます。パーサーで AMAZON_WEB_SERVICES にハードコードされます。パーサーで STORAGE_OBJECT にハードコードされます。パーサーで STORAGE_BUCKET にハードコードされます。
title security_result.summary title フィールドから直接マッピングされます。
type metadata.product_event_type type フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。