Amazon Web Services(AWS)の Security Command Center のキュレート検出、脅威調査、Cloud Infrastructure Entitlement Management(CIEM)機能を使用するには、セキュリティ運用コンソールの取り込みパイプラインを使用して AWS ログを取り込む必要があります。取り込みに必要な AWS ログタイプは、構成内容によって異なります。
- CIEM には、AWS CloudTrail ログタイプのデータが必要です。
- キュレーテッド検出には、複数の AWS ログタイプのデータが必要です。
さまざまな AWS ログタイプの詳細については、サポートされているデバイスとログタイプをご覧ください。
キュレーテッド検出
キュレーテッド検出では、各 AWS ルールセットが設計どおりに機能するために、次のうちの 1 つ以上を含む特定のデータを必要とします。
- AWS CloudTrail ログ
- AWS GuardDuty
- ホスト、サービス、VPC、ユーザーに関する AWS コンテキスト データ
キュレーテッド検出を使用するには、AWS データを Google Security Operations に取り込み、キュレーテッド検出ルールを有効にする必要があります。AWS データの取り込みを構成する方法については、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。キュレーテッド検出ルールを有効にする方法については、Google SecOps ドキュメントのキュレーテッド検出を使用して脅威を識別するをご覧ください。
CIEM の AWS ログ取り込みを構成する
AWS 環境の検出結果を生成するには、Cloud Infrastructure Entitlement Management(CIEM)機能に AWS CloudTrail ログのデータが必要です。
CIEM を使用するには、AWS ログの取り込みを構成するときに次の操作を行います。
AWS CloudTrail を設定する際は、次の構成手順を完了します。
- 環境内のすべての AWS アカウントからログデータを取得する組織レベルの証跡を作成します。
- すべてのリージョンのデータイベントと管理イベントをロギングするように、CIEM に選択した S3 バケットを設定します。また、データイベントを取り込む対象となるサービスをすべて選択します。このイベントデータがないと、CIEM は AWS の正確な検出結果を生成できません。
セキュリティ運用コンソールで AWS ログを取り込むフィードを設定する際は、次の構成手順を完了します。
- すべてのリージョンの S3 バケットからすべてのアカウント ログを取り込むフィードを作成します。
- フィード 取り込みラベルの Key-Value ペアを
CIEMとTRUEに設定します。
ログの取り込みを正しく構成しないと、CIEM 検出サービスに誤った検出結果が表示されることがあります。また、CloudTrail の構成に問題がある場合は、Security Command Center に CIEM AWS CloudTrail configuration error が表示されます。
ログの取り込みを構成するには、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。
CIEM の有効化の詳細な手順については、AWS 用の CIEM 検出サービスを有効にするをご覧ください。CIEM 機能の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。