このページは Cloud Translation API によって翻訳されました。

AWS Network Firewall ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、AWS Network Firewall ログを Google Security Operations に取り込む方法について説明します。AWS Network Firewall は、悪意のあるトラフィックから VPC を保護するマネージドサービスです。ネットワークファイアウォールログを Google SecOps に送信すると、モニタリング、分析、脅威検出を改善できます。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
AWS への特権アクセス

AWS ネットワークファイアウォールのロギングを構成する方法

AWS Management Console にログインします。
Amazon VPC コンソールを開きます。
ナビゲーションパネルで [ファイアウォール] を選択します。
編集するファイアウォールの名前を選択します。
[ファイアウォールの詳細] タブを選択します。
[ロギング] セクションで [編集] をクリックします。
ログタイプとして [Flow]、[Alert]、[TLS] を選択します。
選択したログタイプごとに、宛先タイプとして [S3] を選択します。

注: 既存のログタイプの宛先を変更するには、まずポリシーのロギングを無効にする必要があります。
次に、ポリシーを編集して、ログタイプの新しい宛先を指定します。
[保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクトファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで、[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: AWS Network Firewall Logs）。
[ソースタイプ] として [Amazon S3] を選択します。
[ログタイプ] として [AWS Network Firewall] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。
  - s3://your-log-bucket-name/
    - your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
- URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。
- シークレットアクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレットキー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

リージョン: Amazon S3 バケットが配置されているリージョン。
S3 URI: バケット URI。
- s3://your-log-bucket-name/
  - your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。
シークレットアクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレットキー。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
Asset Namespace: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	`availability_zone` フィールドから直接マッピングされます。
`event.app_proto`	`network.application_protocol`	`event.app_proto` フィールドから直接マッピングされ、指定された値（ikev2、tftp、failed、snmp、tls、ftp）のいずれでもない場合は大文字に変換されます。HTTP2 は HTTP に置き換えられます。
`event.dest_ip`	`target.ip`	`event.dest_ip` フィールドから直接マッピングされます。
`event.dest_port`	`target.port`	`event.dest_port` フィールドから直接マッピングされ、整数に変換されます。
`event.event_type`	`additional.fields[event_type_label].key`	キーは「event_type」としてハードコードされています。
`event.event_type`	`additional.fields[event_type_label].value.string_value`	`event.event_type` フィールドから直接マッピングされます。
`event.flow_id`	`network.session_id`	`event.flow_id` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.age`	`additional.fields[netflow_age_label].key`	キーは「netflow_age」としてハードコードされています。
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	`event.netflow.age` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.bytes`	`network.sent_bytes`	`event.netflow.bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`event.netflow.end`	`additional.fields[netflow_end_label].key`	キーは「netflow_end」としてハードコードされています。
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	`event.netflow.end` フィールドから直接マッピングされます。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	キーは「netflow_max_ttl」としてハードコードされています。
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	`event.netflow.max_ttl` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	キーは「netflow_min_ttl」としてハードコードされています。
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	`event.netflow.min_ttl` フィールドから直接マッピングされ、文字列に変換されます。
`event.netflow.pkts`	`network.sent_packets`	`event.netflow.pkts` フィールドから直接マッピングされ、整数に変換されます。
`event.netflow.start`	`additional.fields[netflow_start_label].key`	キーは「netflow_start」としてハードコードされています。
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	`event.netflow.start` フィールドから直接マッピングされます。
`event.proto`	`network.ip_protocol`	`event.proto` フィールドから直接マッピングされます。値が「IPv6-ICMP」の場合は、「ICMP」に置き換えられます。
`event.src_ip`	`principal.ip`	`event.src_ip` フィールドから直接マッピングされます。
`event.src_port`	`principal.port`	`event.src_port` フィールドから直接マッピングされ、整数に変換されます。
`event.tcp.syn`	`additional.fields[syn_label].key`	キーは「syn」としてハードコードされています。
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	`event.tcp.syn` フィールドから直接マッピングされ、文字列に変換されます。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	キーは「tcp_flags」としてハードコードされています。
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	`event.tcp.tcp_flags` フィールドから直接マッピングされます。
`event_timestamp`	`metadata.event_timestamp.seconds`	`event_timestamp` フィールドから直接マッピングされ、タイムスタンプとして解析されます。
`event_timestamp`	`timestamp.seconds`	`event_timestamp` フィールドから直接マッピングされ、タイムスタンプとして解析されます。
`firewall_name`	`metadata.product_event_type`	`firewall_name` フィールドから直接マッピングされます。`event.src_ip` と `event.dest_ip` の両方が存在する場合は「NETWORK_CONNECTION」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。「AWS Network Firewall」にハードコードされています。「AWS」にハードコードされています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。