AWS VPN のログを収集する

以下でサポートされています。

このドキュメントでは、AWS VPN ログを Google Security Operations に取り込む方法について説明します。AWS VPN は、オンプレミス ネットワークと Amazon Virtual Private Cloud(VPC)間の安全な接続を提供します。VPN ログを Google SecOps に転送すると、VPN 接続アクティビティを分析し、潜在的なセキュリティ リスクを検出し、トラフィック パターンをモニタリングできます。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • AWS への特権アクセス権があることを確認します。

AWS IAM と S3 を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. バケットの名前リージョンを保存して、後で使用できるようにします。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで [権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

AWS VPN ロギング用に CloudTrail を構成する

  1. AWS Management Console にログインします。
  2. 検索バーに「CloudTrail」と入力し、サービスリストから CloudTrail を選択します。
  3. [Create trail] をクリックします。
  4. トレイル名を指定します(例: VPN-Activity-Trail)。
  5. [組織内のすべてのアカウントで有効にする] チェックボックスをオンにします。
  6. 前に作成した S3 バケット URI(形式は s3://your-log-bucket-name/ にする必要があります)を入力するか、新しい S3 バケットを作成します。
  7. SSE-KMS が有効になっている場合は、[AWS KMS Alias] の名前を指定するか、[既存の AWS KMS Key] を選択します。
  8. その他の設定はデフォルトのままにします。
  9. [次へ] をクリックします。
  10. [イベントの種類] で、[管理イベント] を [すべて]、[データイベント] を [ネットワーキングと VPN サービス] に設定します。
  11. [次へ] をクリックします。
  12. [Review and create] で設定を確認します。

  13. [Create trail] をクリックします。

  14. 省略可: CloudTrail の構成中に新しいバケットを作成した場合は、次の手順に進みます。

    1. [S3] に移動します。
    2. 新しく作成したログバケットを特定して選択します。
    3. [AWSLogs] フォルダを選択します。
    4. [Copy S3 URI] をクリックして保存します。

AWS Client VPN のロギングを構成する

  1. AWS Client VPN コンソールに移動します。
  2. [Client VPN Endpoints] で、必要なエンドポイントを選択します。
  3. [Logging] セクションで [enable logging] をクリックし、VPN 接続ログを送信する Amazon CloudWatch ロググループを指定します。

AWS VPN のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: AWS VPN Logs)。
  4. [ソースタイプ] として [Amazon S3] を選択します。
  5. [Log type] として [AWS VPN] を選択します。
  6. [次へ] をクリックします。

  7. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name は、バケットの実際の名前に置き換えます。
    • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。

    • Source deletion options: 必要に応じて削除オプションを選択します。

    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。

    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

    • Asset namespace: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  8. [次へ] をクリックします。

  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

変更点

2024-09-19

機能強化:

  • connection-attempt-statussecurity_result.action にマッピングしました。

2024-07-19

  • 新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。