Prisma Cloud セットアップガイド - AWS 編

Printer Friendly Page

本ドキュメントは、Prisma Cloud を使用してAWS 環境を監視される方を対象に、以下のガイドで説明している登録作業の一部を自動化した手順をご紹介します。なお、作業の詳細につきましては以下のガイドをご参照ください。

 

Prisma Cloud セットアップガイド - 事前準備 AWS編

Prisma Cloud セットアップガイド - クラウドアカウント登録 AWS編

 

STEP1:事前準備

以下の事前準備作業を推奨します。

・VPC Flow ログの設定を有効

   設定手順:

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[VPC] を選択します。
  3. 1 つ以上の VPCを選択し、[アクション]、[フローログの作成] の順に選択します。
  4. [フィルタ] で、記録する IP トラフィックデータのタイプを指定します。Prisma Cloudは、承諾および拒否されたトラフィックを記録する必要があるため、 [すべて]を選択します。
  5. [送信先] で、[Send to CloudWatch Logs (CloudWatch ログへの送信)] を選択します。
  6. [送信先ロググループ] に、項目2で作成した CloudWatch Logs のロググループの名前を入力します。(*1)
  7. [IAM role]の項目は、CloudWatch Logs へのフローログ発行のための IAM ロールを指定します。既存のロールが存在しない場合には、”権限の設定”を選択、新しいロールを設定します。 詳細はAWSのサイトを参照ください。
  8. 作成を選択します。

・Cloud Trail ログ 

  設定手順:

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にあるCloudTrail コンソールを開きます。
  2. 証跡を作成するリージョンを選択します。
  3. [Trails (証跡)]、[Create trail (証跡の作成)] の順に選択します。
  4. [証跡の作成] ページの [証跡名] に証跡の名前を入力します。
  5. [証跡情報を全てのリージョンに適用] で [はい] を選択します。
  6. [管理イベント] の [読み込み/書き込みイベント] で、ログに記録する証跡を [All]を選択します。
  7. [ストレージの場所]で、”新しいバケットを作成しますか”で、S3に既存のバケットがない場合は[はい]を選び、新たに作成します。既にお持ちの場合は、[いいえ]を選択し、バケット名を入力します。
  8. [作成] を選択します。作成した証跡を選択し、 [CloudWatch Logs] の設定ボタンをクリックして、項目2で作成したロググループを指定し、[次へ]を選択します。
  9.  IAM ロールについては、既存のロールを選択するか、新しいロールを作成します。IAM ロールを作成する場合 は、ロール名を入力します。
  10.  [許可] を選択して、CloudWatch Logs ログストリームを作成するアクセス許可とイベントを配信する権限を CloudTrail に付与します。

・Amazon Inspector / Amazon GuardDuty 

AWSが提供する以下のサービスと連携することが可能です。連携を希望する場合には事前に有効にすることを推奨します。

・Amazon Inspector

Amazon Inspector の使用開始

https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_getting-started.html

・Amazon GuardDuty

Amazon Guard Duty をセットアップする

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_settingup.html

 

STEP2:Prisma Cloud にログイン

1. PaloAlto Networks Hubに接続、”Sigin in をクリックしてログインします。

ユーザ名、パスワードは、Marketplace で入力した内容を使用します。                               

https://apps.paloaltonetworks.com/apps

 

2. ログイン後、Prisma Cloud のアイコンを選択します。Prisma Cloud の画面が表示されます。

clipboard_image_0.png

 

上記でご紹介した手順でログイン時に問題が発生する場合は、以下のURLを指定してご利用のテナントに直接ログインすることが可能です。      

オーストラリア:

https://app.anz.prismacloud.io/legacy/signin

米国:

https://app2.prismacloud.io/legacy/signin

https://app3.prismacloud.io/legacy/signin

https://app4.prismacloud.io/legacy/signin

 

STEP3:AWS 環境の登録作業

① Prisma Cloud ログイン後、右上のユーザ名を選択

clipboard_image_0.png

 

② 一覧から”クイックスタートチェックリスト”を選択

clipboard_image_1.png

 

③ “Add Accounts”を選択

clipboard_image_2.png

 

④ “AWS”を選択

clipboard_image_3.png

 

⑤ Account 情報の入力

Cloud Account Name: Prisma Cloud 上で表示する名前

Select a mode: “Monitor” 、”Monitor&Protect”のいずれかを選択

 

Next を選択

clipboard_image_4.png

 

⑥ “1. Click here”を選択します。

AWS のアカウントにログイン後、Cloud Formationのページが表示されます。

clipboard_image_5.png

 

⑦ CloudFormationのページで、以下のチェックボックスを選択、”スタックの作成”を選択します。

“AWS CloudFormation によって IAM リソースがカスタム名で作成される場合があることを承認します。”

 

clipboard_image_7.png

clipboard_image_8.png

⑧ PrismaCloudAppのスタックが正常に処理が完了しますと、ステータスに”CREATE_COMPLETE”と表示されます。

 

”出力”タブを選択、キーの値をコピーします。 

clipboard_image_9.png

 

⑨ Role ARN に⑧で取得した値を入力し、Next を選択します。

clipboard_image_10.png

 

⑩ ステータスがグリーンで表示されたことを確認、Doneを選択

clipboard_image_11.png

 

⑪ “Success!”と画面が表示されます。

右上の☓ボタンを押して終了します。

clipboard_image_12.png

 

⑫ 設定 > クラウドアカウントの順に進み登録したアカウントを確認します。

clipboard_image_13.png

 

以上で作業は終了です。

Prisma Cloud は登録後にAWS 環境からの情報の取り込みを開始します。

すべての作業が完了するまで約24時間の時間を要します。

Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
4/4
最終更新:
‎11-05-2019 03:57 PM
更新者:
 
寄稿者: