このページは Cloud Translation API によって翻訳されました。

ログデータの収集のために AWS に接続する

アマゾンウェブサービス（AWS）の Security Command Center のキュレーテッド検出、脅威調査、Cloud Infrastructure Entitlement Management（CIEM）（プレビュー）機能を使用するには、Google SecOps の取り込みパイプラインを使用して AWS ログを取り込む必要があります。取り込みに必要な AWS ログタイプは、構成する内容によって異なります。

CIEM には、AWS CloudTrail ログタイプのデータが必要です。
キュレーテッド検出には、複数の AWS ログタイプのデータが必要です。

AWS ログタイプの詳細については、サポートされているデバイスとログタイプをご覧ください。

CIEM の AWS ログ取り込みを構成する

AWS 環境の検出結果を生成するには、Cloud Infrastructure Entitlement Management（CIEM）機能で AWS CloudTrail ログのデータが必要です。

CIEM を使用するには、AWS ログ取り込みを構成する際に次の操作を行います。

AWS CloudTrail を設定する際は、次の構成手順を完了します。
1. 次のいずれかを作成します。
  - すべての AWS アカウントからログデータを取得する組織レベルの証跡。
  - 選択した AWS アカウントからログデータを取得するアカウントレベルの証跡。
    
    注: アカウントレベルの証跡の場合、Security Command Center はすべてのラテラルムーブメントリスクを検出できません。
2. CIEM で選択した Amazon S3 バケットまたは Amazon SQS キューが、すべてのリージョンから管理イベントをロギングするように設定します。
セキュリティ運用コンソールの [フィード] ページを使用して AWS ログを取り込むフィードを設定する際は、次の構成手順を完了します。
1. すべてのリージョンの Amazon S3 バケットまたは Amazon SQS キューからすべてのアカウントログを取り込むフィードを作成します。
2. 次のいずれかのオプションを使用し、フィードソースのタイプに基づいてフィードの取り込みラベルの Key-Value ペアを設定します。
  - [ソースタイプ] が [Amazon S3] の場合は、次のいずれかを構成します。
    - 15 分ごとにデータを抽出するには、[ラベル] を CIEM に、[値] を TRUE に設定します。このフィードは、15 分のデータ遅延が許容される他の Security Command Center サービスで再利用できます。
    - 12 時間ごとにデータを抽出するには、[ラベル] を CIEM_EXCLUSIVE に、[値] を TRUE に設定します。このオプションは、24 時間のデータ遅延が許容される CIEM やその他の Security Command Center サービスに適しています。
  - [ソースタイプ] が [Amazon SQS] の場合は、[ラベル] を CIEM に、[値] を TRUE に設定します。

ログの取り込みを正しく構成しないと、CIEM 検出サービスで誤った結果が表示される可能性があります。また、CloudTrail 構成に問題がある場合は、Security Command Center に CIEM AWS CloudTrail configuration error が表示されます。

ログの取り込みを構成するには、Google SecOps ドキュメントの AWS ログを Google Security Operations に取り込むをご覧ください。

CIEM を有効にする手順については、AWS 用の CIEM 検出サービスを有効にするをご覧ください。CIEM 機能の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。

キュレートされた検出用に AWS ログの取り込みを構成する

Security Command Center Enterprise で利用可能なキュレートされた検出では、イベントデータとコンテキストデータの両方を使用して、AWS 環境での脅威を特定できます。

各 AWS ルールセットが設計どおりに機能するには、次のうちの 1 つ以上のソースを含む特定のデータを必要とします。

AWS CloudTrail
AWS GuardDuty
ホスト、サービス、VPC に関する AWS コンテキストデータ。
AWS Identity and Access Management

キュレートされた検出を使用するには、AWS ログデータを Google SecOps テナントに取り込み、キュレーテッド検出ルールを有効にする必要があります。

詳細については、Google SecOps ドキュメントの次の項目をご覧ください。

AWS でサポートされているデバイスとログタイプ: AWS ルールセットに必要なデータに関する情報。
AWS ログを Google Security Operations に取り込む: AWS CloudTrail ログを収集する手順。
AWS データのキュレートされた検出: クラウド脅威のキュレートされた検出に含まれる AWS ルールセットの概要。
キュレートされた検出を使用して脅威を特定する: Google SecOps でキュレートされた検出を使用する方法。

Security Command Center Enterprise をご利用のお客様が Google SecOps テナントに取り込むことができるログデータの種類については、Google Cloud サービスティアをご覧ください。