[Cortex XDR/XSIAM]監査ログの取り込み - AWS Cloud Trail

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
L4 Transporter
評価なし

 Cortex XDRはエンドポイントやファイアウォールのトラフィックログの他、クラウドサービスの監査ログなど

様々なログを取り込み解析することができます。ここではAWS Cloud Trailログの取り込み方法の概要と、

XQLやAnalyticsでどのように見えるのか簡単なサンプルをご説明します。

 

AWS Cloud Trailとは

 AWS Cloud TrailはユーザアクティビティやAPIなどのイベントを記録し、コンプライアンスの証明や

セキュリティの向上に役立ちます。

 

 

Analyticsによる異常なアクティビティの検出

機械学習を使用しAWS Cloud Trailのログから異常なアクティビティを検出することができます。

以下のスクリーショットは外部から悪意のある第三者がユーザが

Torブラウザ経由してAPIをコール(ここではS3バケットにアクセスしようとした)したことを示しています。

 

massaito_9-1667003942534.png

 

データの分析(XQLで検索する)

AWS Cloud Trailのログは自動的にパースされて、XQLで検索することができます。

massaito_4-1667002821056.png

 

以下のようにフィールドもパースされます。

massaito_5-1667002834833.png

 

一部json形式のフィールドもありますが、json_extractなどのXQLの機能を使って抽出いただくことも可能です。

massaito_6-1667003090797.png

 

 

また、datasetに「cloud_audit_logs」を指定して抽出することも可能です。

Azure ADなどの複数の監査ログをXDRに取り込んでいて横串で検索したい場合は、

こちらのdatasetを指定すると良いかもしれません。

 

massaito_7-1667003186782.png

 

AWS Cloud Trailログを取り込むフロー

 AWS Cloud Trailで監査証跡を有効にし、監査ログをS3バケットに送信します。S3バケットはCloudTrailから

ログを受信するとそれをSQSキューに送信します。

SQSキューを通じてCloud Trailログをサードパーティが使う方法としては一般的なアーキテクチャかと思います。

 

Cortex XDRはSQSキューからログを取り込み、ユーザーは取り込んだログを

XQLで検索したりAnalyticsによる分析結果のアラートを確認することが可能になります。 

 

| AWS Cloud Trail | ----> | Amazon S3| ----> | Amazon SQS | <----  | Cortex XDR | 

 

以下では、AWS Cloud Trail, S3バケット,SQSキュー,IAMロールなどのAWS側の設定と、

Cortex XDRの設定について説明します。詳細な設定についてはTech Docを参照してください。

 

設定の概要

Cloud Trail

証跡を新規作成します。この例では、証跡名を「myaws_traillogs」、証跡の保存先として新規作成した

「mywas-traillogs-forxdr」というS3バケットを選択しています。AWS KMSキーも新規に作成しています。

 

massaito_0-1666863713612.png

 

イベントタイプで「管理イベント」をチェックし、「読み取り」「書き込み」をチェックします。

massaito_1-1666863898379.png

 

これでCloudTrailが作成され、監査ログがS3バケットに流れます。

massaito_2-1666864015319.png

 

S3バケットの中にオブジェクトが作成され、

massaito_0-1666866125226.png

 

圧縮ファイルでCloud Trailログが保存されていることがわかります。

massaito_1-1666866138794.png

 

Amazon SQS

標準キューを作成します。

massaito_2-1666866151093.png

 

Advancedを選択し、S3バケットのARNを追加します。

massaito_3-1666866166289.png

 

「キューを作成」をクリックします。

massaito_4-1666866179351.png

 

SQSキューが作成されました。

massaito_5-1666866195797.png

 

S3にイベント通知の設定を行い、SQSキューにデータを飛ばす

作成したS3バケットでイベント通知の設定を行います。massaito_6-1666866220413.png

 

全てのイベントをSQSに送信する設定にします。

massaito_7-1666866266767.png

 

massaito_8-1666866318374.png

 

 

 

IAM Roleの設定

ここではAssume Roleを使用する場合を想定しています。

 

CortexのAWSアカウントと外部IDを設定します。

AWSアカウントや外部IDの作成方法はドキュメントに記載がありますのでこちらを参照ください。

 

massaito_11-1666866478807.png

 

JSONでポリシーを作成します。このロールにS3バケット、SQSに対するパーミッションを設定します。

massaito_12-1666866541783.png

 

名前を設定しポリシーを作成します。

massaito_13-1666866565449.png

 

このロールに対してSecurity Auditポリシー(AWS管理)も追加します。

massaito_10-1666866395586.png

 

 

ロールが作成されます。以下の例ではロール「XDR_Log_Ingestion_Role」に

 ・SecurityAudit(AWS管理のポリシー)

 ・XDR_Audit_Logs_assume_policy(今回作成したポリシー)

を付与し、信頼されたエンティティとしてCortex XDRのアカウントを設定しています。

massaito_0-1667001882259.png

 

Cortex XDRの設定

Cortex XDRでは「S3 Log Configuration」にて、上記の手順で作成したSQSキューのURL、IAMロールのARNおよびexternal IDを設定します。

 

 

massaito_1-1667002575966.png

 

Testボタンを押すと、設定が正しければ「Connection established」というメッセージが表示されます。

massaito_3-1667002673918.png

 

Saveボタンを押すと以下のように追加されます。

massaito_2-1667002635277.png

 

Tech Docs

AWS Cloud Trailの設定方法についてはこちら 

監査ログのAnalyticsについてこちら

必要なライセンスについてはこちら

 

 

この記事を評価:
  • 2079 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:32 AM
更新者: