[Cortex XDR/XSIAM]フローログの取り込み - Amazon VPC Flow logs

　Cortex XDRはエンドポイントやファイアウォールのトラフィックログの他、クラウドサービスの監査ログなど

様々なログを取り込み解析することができます。ここではAmazon VPCのVPC Flow logsの取り込み方法の概要と、

XQLでどのように見えるのか簡単なサンプルをご説明します。

VPC Flow logsとは

　VPC Flow logsは、VPCのネットワークインターフェース間で発生するトラフィックを取得することができる

機能です。

データの分析(XQLで検索する)

datasetで検索する

dataset "amazon_aws_raw"で検索できますが、Cloud TrailなどのAudit Logも同じデータセットに入るので、

_collector_nameでフィルターすると良いです。

以下のようにフィールドもパースされ、送信元IPアドレス・ポート、送信先IPアドレス・ポート、プロトコル、パケットサイズなどが確認できます。

network storyで検索する

presetのnetwork storyを使用することもできます。

簡単ではありますが、以下例はある送信元IPアドレスからの通信を検索しその結果をCasuality Viewで表示した場合です。

フィールド名などの情報はこちらで参照できます。

XQLの結果 

 上の結果からCausaility Chainを見た場合です。

VPC Flow logsを取り込むフロー

　指定したVPCのフローログを有効にし、フローログをS3バケットに送信します。S3バケットはVPCから

ログを受信するとそれをSQSキューに送信します。

Cortex XDRがCloudTrailログを取り込む場合と同じアーキテクチャです。

Cortex XDRはSQSキューからログを取り込み、ユーザーは取り込んだログを

XQLで検索したりAnalyticsによる分析結果のアラートを確認することが可能になります。 

| VPC | ----> | Amazon S3| ----> | Amazon SQS | <----  | Cortex XDR | 

以下では、VPC, S3バケット,SQSキュー,IAMロールなどのAWS側の設定と、

Cortex XDRの設定について説明します。詳細な設定についてはTech Docを参照してください。

S3とSQS

S3バケットとSQSはCortex XDRが用意したCloudFormation Templateを使ってデプロイします。

レビューし「Create stack」をクリックすると、

フローログを有効にする

フローログを有効にしたいVPCを選択します。

フローログの名前や送信先のS3バケットのARNを設定します。このバケットはCloudTemplateで作成したものです。

以下のようにフローログが作成されます。

IAM Roleの設定

ここではAssume Roleを使用する場合を想定しています。

CortexのAWSアカウントと外部IDを設定します。

AWSアカウントや外部IDの作成方法はドキュメントに記載がありますのでこちらを参照ください。

ここではCloud Trailログを取り込むという記事で作成したロールに対して、

フローログを取り込むための設定を追加しています。

このロールや関連するのポリシーの詳細は上記の記事を参照してください。

このロールに設定したカスタムポリシーを開きます。

JSONでポリシーを開き、フローログの取り込み先のs3バケットのARNと、キューのURLを追加で設定します。

Cortex XDRの設定

Cortex XDRでは「S3 Log Collection」にて、上記の手順で作成したSQSキューのURL、IAMロールのARNおよびexternal IDを設定します。Log TypeはFlow logsです。

Testボタンを押すと、設定が正しければ「Connection established」というメッセージが表示されます。

Saveボタンを押すと以下のように新たなインスタンスが追加されます。

Tech Docs

フローログを取り込むための設定方法についてはこちら 

フローログのAnalyticsについてこちら

必要なライセンスについてはこちら