AWS VPN ログを収集する
このドキュメントでは、AWS VPN ログを Google Security Operations に取り込む方法について説明します。AWS VPN は、オンプレミス ネットワークと Amazon Virtual Private Cloud(VPC)間の安全な接続を提供します。VPN ログを Google SecOps に転送すると、VPN 接続アクティビティを分析し、潜在的なセキュリティ リスクを検出し、トラフィック パターンをモニタリングできます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- AWS への特権アクセス
AWS IAM と S3 を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で使用するために、バケットの名前とリージョンを保存します。
- IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成した [ユーザー] を選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] として [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで、[権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索して選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
AWS VPN ロギング用に CloudTrail を構成する方法
- AWS Management Console にログインします。
- 検索バーに「CloudTrail」と入力し、サービスリストから [CloudTrail] を選択します。
- [トレイルを作成] をクリックします。
- トレイル名(例: VPN-Activity-Trail)を指定します。
- [組織内のすべてのアカウントで有効にする] チェックボックスをオンにします。
- 前に作成した S3 バケット URI(形式は
s3://your-log-bucket-name/
)を入力するか、新しい S3 バケットを作成します。 - SSE-KMS が有効になっている場合は、[AWS KMS Alias] の名前を指定するか、[既存の AWS KMS 鍵] を選択します。
- その他の設定はデフォルトのままにします。
- [次へ] をクリックします。
- [イベントタイプ] で、[管理イベント] を [すべて] に、[データイベント] を [ネットワーキングと VPN サービス] に選択します。
- [次へ] をクリックします。
- [Review and create] で設定を確認します。
[トレイルを作成] をクリックします。
(省略可)CloudTrail の構成時に新しいバケットを作成した場合は、次のプロセスに進みます。
- S3 に移動します。
- 新しく作成したログバケットを特定して選択します。
- [AWSLogs] フォルダを選択します。
- [Copy S3 URI] をクリックして保存します。
AWS Client VPN ロギングを構成する方法
- AWS Client VPN コンソールに移動します。
- [クライアント VPN エンドポイント] で、必要なエンドポイントを選択します。
- [Logging] セクションで、[enable logging] をクリックし、VPN 接続ログの送信先となる Amazon CloudWatch ロググループを指定します。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで、[単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: AWS VPN Logs)。
- [ソースタイプ] として [Amazon S3] を選択します。
- [ログタイプ] として [AWS VPN] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。
s3://your-log-bucket-name/
your-log-bucket-name
は、実際の S3 バケットの名前に置き換えます。
- URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。
シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。
s3://your-log-bucket-name/
your-log-bucket-name
は、実際の S3 バケットの名前に置き換えます。
- URI is a: バケット構造に応じて、[ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。
シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
UDM マッピング テーブル
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。