Amazon Web Services(AWS)の Security Command Center のキュレートされた検出、脅威調査、Cloud Infrastructure Entitlement Management(CIEM)機能を使用するには、セキュリティ運用コンソールの取り込みパイプラインを使用して AWS ログを取り込む必要があります。取り込みに必要な AWS ログタイプは、構成内容によって異なります。
- CIEM には、AWS CloudTrail ログタイプのデータが必要です。
- キュレーテッド検出には、複数の AWS ログタイプのデータが必要です。
さまざまな AWS ログタイプの詳細については、サポートされているデバイスとログタイプをご覧ください。
キュレーテッド検出
キュレーテッド検出では、各 AWS ルールセットが設計どおりに機能するために、次のうちの 1 つ以上を含む特定のデータを必要とします。
- AWS CloudTrail ログ
- AWS GuardDuty
- ホスト、サービス、VPC、ユーザーに関する AWS コンテキスト データ
キュレーテッド検出を使用するには、AWS データを Google Security Operations に取り込み、キュレーテッド検出ルールを有効にする必要があります。AWS データの取り込みを構成する方法については、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。キュレーテッド検出ルールを有効にする方法については、Google SecOps ドキュメントのキュレーテッド検出を使用して脅威を識別するをご覧ください。
CIEM 用に AWS ログの取り込みを構成する
AWS 環境の検出結果を生成するには、Cloud Infrastructure Entitlement Management(CIEM)機能に AWS CloudTrail ログのデータが必要です。
CIEM を使用するには、AWS ログの取り込みを構成するときに次の操作を行います。
AWS CloudTrail を設定する際は、次の構成手順を完了します。
- 環境内のすべての AWS アカウントからログデータを取得する組織レベルの証跡を作成します。
- すべてのリージョンのデータイベントと管理イベントをロギングするように、CIEM に選択した S3 バケットを設定します。また、データイベントを取り込む対象となるサービスをすべて選択します。このイベントデータがないと、CIEM は AWS の正確な検出結果を生成できません。
セキュリティ運用コンソールで AWS ログを取り込むフィードを設定する際は、次の構成手順を完了します。
- すべてのリージョンの S3 バケットからすべてのアカウント ログを取り込むフィードを作成します。
- フィード 取り込みラベルの Key-Value ペアを
CIEM
とTRUE
に設定します。
ログの取り込みを正しく構成しないと、CIEM 検出サービスに誤った検出結果が表示されることがあります。また、CloudTrail の構成に問題がある場合は、Security Command Center に CIEM AWS CloudTrail configuration error
が表示されます。
ログの取り込みを構成するには、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。
CIEM の有効化の詳細な手順については、AWS 用の CIEM 検出サービスを有効にするをご覧ください。CIEM 機能の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。