Amazon Web Services(AWS)の Security Command Center のキュレーテッド検出、脅威調査、Cloud Infrastructure Entitlement Management(CIEM)(プレビュー)機能を使用するには、セキュリティ運用コンソールの取り込みパイプラインを使用して AWS ログを取り込む必要があります。取り込みに必要な AWS ログタイプは、構成内容によって異なります。
- CIEM には、AWS CloudTrail ログタイプのデータが必要です。
- キュレーテッド検出には、複数の AWS ログタイプのデータが必要です。
さまざまな AWS ログタイプの詳細については、サポートされているデバイスとログタイプをご覧ください。
キュレーテッド検出
キュレーテッド検出では、各 AWS ルールセットが設計どおりに機能するために、次のうちの 1 つ以上を含む特定のデータを必要とします。
- AWS CloudTrail ログ
- AWS GuardDuty
- ホスト、サービス、VPC、ユーザーに関する AWS コンテキスト データ
キュレーテッド検出を使用するには、AWS データを Google Security Operations に取り込み、キュレーテッド検出ルールを有効にする必要があります。AWS データの取り込みを構成する方法については、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。キュレーテッド検出ルールを有効にする方法については、Google SecOps ドキュメントのキュレーテッド検出を使用して脅威を識別するをご覧ください。
CIEM 用に AWS ログの取り込みを構成する
AWS 環境の検出結果を生成するには、Cloud Infrastructure Entitlement Management(CIEM)機能に AWS CloudTrail ログのデータが必要です。
CIEM を使用するには、AWS ログの取り込みを構成するときに次の操作を行います。
AWS CloudTrail を設定するときに、次の構成手順を完了します。
- 環境内のすべての AWS アカウントからログデータを取得する組織レベルのトレイルを作成します。
- すべてのリージョンのデータイベントと管理イベントをロギングするように、CIEM に選択した S3 バケットを設定します。さらに、データイベントを取り込む対象となるサービスをすべて選択します。このイベントデータがないと、CIEM は AWS の正確な検出結果を生成できません。
セキュリティ運用コンソールで AWS ログを取り込むようにフィードを設定する場合は、次の構成手順を行います。
- すべてのリージョンの S3 バケットからすべてのアカウントログを取り込むフィードを作成します。
- フィードの [取り込みラベル] の Key-Value ペアを
CIEMとTRUEに設定します。
ログの取り込みを正しく構成しないと、CIEM 検出サービスに誤った検出結果が表示されることがあります。また、CloudTrail の構成に問題がある場合は、Security Command Center に CIEM AWS CloudTrail configuration error が表示されます。
ログの取り込みを構成するには、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。
CIEM を有効にする詳しい手順については、AWS 用の CIEM 検出サービスの有効化をご覧ください。CIEM 機能の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。