[Cortex XDR/XSIAM]フローログの取り込み - Amazon VPC Flow logs

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
100%が役に立ったと言っています (1/1)

 Cortex XDRはエンドポイントやファイアウォールのトラフィックログの他、クラウドサービスの監査ログなど

様々なログを取り込み解析することができます。ここではAmazon VPCのVPC Flow logsの取り込み方法の概要と、

XQLでどのように見えるのか簡単なサンプルをご説明します。

 

VPC Flow logsとは

 VPC Flow logsは、VPCのネットワークインターフェース間で発生するトラフィックを取得することができる

機能です。

 

 

データの分析(XQLで検索する)

 

datasetで検索する

dataset "amazon_aws_raw"で検索できますが、Cloud TrailなどのAudit Logも同じデータセットに入るので、

_collector_nameでフィルターすると良いです。

massaito_0-1668757142265.png

 

以下のようにフィールドもパースされ、送信元IPアドレス・ポート、送信先IPアドレス・ポート、プロトコル、パケットサイズなどが確認できます。

 

massaito_1-1668757173921.png

 

massaito_2-1668757221640.png

 

 

 

network storyで検索する

presetのnetwork storyを使用することもできます。

簡単ではありますが、以下例はある送信元IPアドレスからの通信を検索しその結果をCasuality Viewで表示した場合です。

フィールド名などの情報はこちらで参照できます。

 

XQLの結果 

massaito_4-1668759233188.png

 

 上の結果からCausaility Chainを見た場合です。

massaito_3-1668759053374.png

 

 

VPC Flow logsを取り込むフロー

 指定したVPCのフローログを有効にし、フローログをS3バケットに送信します。S3バケットはVPCから

ログを受信するとそれをSQSキューに送信します。

Cortex XDRがCloudTrailログを取り込む場合と同じアーキテクチャです。

 

Cortex XDRはSQSキューからログを取り込み、ユーザーは取り込んだログを

XQLで検索したりAnalyticsによる分析結果のアラートを確認することが可能になります。 

 

| VPC | ----> | Amazon S3| ----> | Amazon SQS | <----  | Cortex XDR | 

 

以下では、VPC, S3バケット,SQSキュー,IAMロールなどのAWS側の設定と、

Cortex XDRの設定について説明します。詳細な設定についてはTech Docを参照してください。

 

S3とSQS

S3バケットとSQSはCortex XDRが用意したCloudFormation Templateを使ってデプロイします。

massaito_5-1668759462806.png

 

レビューし「Create stack」をクリックすると、

massaito_6-1668759493918.png
 
キューやバケットが作成されます。
massaito_0-1668760589653.png

 

 

フローログを有効にする

フローログを有効にしたいVPCを選択します。

massaito_1-1668760718223.png

 

 

フローログの名前や送信先のS3バケットのARNを設定します。このバケットはCloudTemplateで作成したものです。

massaito_2-1668760743631.png

 


以下のようにフローログが作成されます。

massaito_3-1668760824554.png

 

 

IAM Roleの設定

ここではAssume Roleを使用する場合を想定しています。

 

CortexのAWSアカウントと外部IDを設定します。

AWSアカウントや外部IDの作成方法はドキュメントに記載がありますのでこちらを参照ください。

 

ここではCloud Trailログを取り込むという記事で作成したロールに対して、

フローログを取り込むための設定を追加しています。

このロールや関連するのポリシーの詳細は上記の記事を参照してください。

 

このロールに設定したカスタムポリシーを開きます。

massaito_4-1668760927954.png

 

 

JSONでポリシーを開き、フローログの取り込み先のs3バケットのARNと、キューのURLを追加で設定します。

s3バケットのARNはAmazon S3の画面から、キューのURLはAmazon SQSあるいは冒頭使ったCloudTemplateのOutputs
から確認してください。
 massaito_5-1668761161134.png

 

Cortex XDRの設定

Cortex XDRでは「S3 Log Collection」にて、上記の手順で作成したSQSキューのURL、IAMロールのARNおよびexternal IDを設定します。Log TypeはFlow logsです。

massaito_6-1668761464044.png

 

 

Testボタンを押すと、設定が正しければ「Connection established」というメッセージが表示されます。

massaito_7-1668761568217.png

 

Saveボタンを押すと以下のように新たなインスタンスが追加されます。

massaito_8-1668761604045.png

 

Tech Docs

フローログを取り込むための設定方法についてはこちら 

フローログのAnalyticsについてこちら

必要なライセンスについてはこちら

 

 

この記事を評価:
  • 1969 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:30 AM
更新者: