AWS Application Load Balancer (ALB) ログ インテグレーションガイド

以下の手順は、AWS ALBLogsインテグレーションを設定し、ログをSecureworks® Taegis™ XDRに取り込むためのものです。

注意

以下の作業は、AWS ALB Logsバケットと同じAWSリージョンで実施してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
AWS Application Load Balancer		HTTP

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

AWS ALB のセットアップ

注意

XDRへのログイン権限がない場合は、権限を持つ方にアクセスが必要な手順を手伝ってもらってください。また、支援が必要な場合はSecureworks®の担当者にご連絡ください。

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化されたタブからAWSを選択し、AWS ALBの下にあるセットアップを選択します。

   

   AWS ALBインテグレーションのセットアップ

4. 次へを選択します。

5. Taegisインテグレーション名を入力します。これはインテグレーションの一意の名前として機能し、有効な値を100文字まで入力できます。
6. 完了を選択します。CloudFormationテンプレートが自動的に taegis-cloudformation-lambda-template.yaml としてダウンロードされます。

CloudFormation テンプレートを S3 にアップロード（オプション）

1. 対象リージョンのAWSコンソール（例: https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けられるロールでログインします。

2. ストレージセクションで、S3を選択します。

3. 新しいバケットを作成するか、CloudFormationテンプレートを保存する既存のバケットを探します。バケットはパブリック、バージョン管理、暗号化である必要はありません。

4. taegis-cloudformation-lambda-template.yaml を同じバケットにアップロードします。

   ヒント

   バケット名とキー（プレフィックスを含む）を控えておいてください。これらの識別子はスタック作成時に必要となります。

Lambda スタックの作成

1. 対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けることができるロールでログインします。

2. 管理とガバナンスセクションで、CloudFormationを選択します。

3. スタックの作成ボタンを選択します。

   注意

   CloudFormationを選択した際、次の画像のようにCloudFormationスタックの一覧が表示される場合があります。その場合は、スタックの作成ドロップダウンを選択し、新しいリソース（標準）で作成を選択してください。

   

   新しいスタックの作成

4. 前提条件 - テンプレートの準備 セクションで、既存のテンプレートを選択を選びます。

5. テンプレートの指定 セクションで、テンプレートファイルをアップロードを選択し、ファイルを選択ボタンを押します。

6. 次へを選択します。

7. 適切なスタック名を入力します。

   注意

   スタック名にはスペースを使用できません。

8. ドロップダウンからIntegrationTypeを選択します。これはNotificationBucketに格納されているログオブジェクトの種類を示します。複数の種類がある場合や不明な場合は、genericを選択してください。

   

   Lambdaスタックの統合タイプを更新

9. NotificationBucketフィールドには、ログが格納されているバケット名（URLやURIではなく）を入力します。

10. （任意）今後S3通知の代わりにSNS通知を使用したい場合は、SNSNotificationarnフィールドに適切な値を入力します。

11. 残りのフィールドはデフォルトのままで問題ありません。

12. 次へを選択します。

13. AWS CloudFormationがIAMリソースを作成する可能性があることを承認しますのチェックボックスを選択します。

14. 次へを選択します。

15. すべてのパラメータを確認します。

16. 送信を選択します。

17. 少なくとも30秒待ってから、更新ボタンを選択します。処理が完了するまで1分以上かかる場合があります。スタックのステータスがCREATE_COMPLETEになれば、処理は完了です。

Lambda トリガーの追加

1. AWSコンソールで、Lambdaサービスに切り替えます。

2. 名前で新しいLambdaを探します。デフォルト名は{STACKNAME}-scwx-tdr-lambda-{INTEGRATIONTYPE}です。例：ct-demo-scwx-tdr-lambda-awscloudtrail。

3. Lambda名を選択します。そのLambdaの編集ページが表示されます。

4. Function overviewセクションを展開し、Add Triggerを選択します。

5. Trigger Configurationエディターで、ドロップダウンメニューからS3を選択します。オプションで、事前に作成したトピックで設定されたSNSトリガーを使用することもできます。

6. Bucketオプションから、ログが格納されているバケットを見つけて選択します。

7. Event Typeオプションから、All Object Create Eventsを選択します。

8. プレフィックスフィールドに、ログが格納されているバケットのプレフィックスを入力します。プレフィックスを使用しない場合は空欄のままにします。

9. サフィックスフィールドは空欄のままにします。

10. Lambda関数のコスト影響を認識するため、以下のチェックボックスをオンにします。

11. Addを選択します。そのLambdaの設定ページが再度表示されます。トリガーの追加が成功したことを示すメッセージが上部に表示されます。例：The trigger wmikeking was successfully added to function Logs-TDR-Upload. The function is now receiving events from the trigger.

    重要

    AWS Lambdaの同時実行ガイダンス

    Taegis XDR CloudFormationテンプレート（taegis-cloudformation-lambda-template.yaml）で設定されているReserved Concurrency値は5です。Lambdaの同時実行や、お客様の環境に適した値の計算方法については、AWSドキュメントのLambda function scalingを参照してください。

    同時実行数の計算に使用する値については、以下のAWSドキュメントを参照してください。

    • 1秒あたりの平均リクエスト数
    • 平均リクエスト時間（秒）

    AWS同時実行制限

    Lambda実行時に以下のエラーが表示された場合：

    

    AWS Concurrent Execution Limit

    同時実行制限を引き上げるために、AWSにクォータ増加をリクエストする必要があります。詳細はAWSドキュメントのLambda quotasを参照してください。

詳細検索でイベントフローを検証

詳細検索を使用して、特定のインテグレーションからのイベントを検索することで、セットアップが正常に完了したかを検証できます。このインテグレーションの場合、以下の検索を使用してください。

from http where sensor_type = 'AWS Application Load Balancer'

関連トピック

• デプロイ済みAWS Lambdaのテスト
• AWS Lambdaログの表示
• インテグレーションの削除
• クラウド権限の削除