コンテンツにスキップ

Lambdaのマイグレーション🔗

以下の手順は、次のインテグレーションで使用されているSecureworks® Taegis™ XDR Lambda関数の更新方法です。

  • AWS CloudTrail
  • AWS CloudWatch Logs
  • Amazon Application Load Balancer (ALB)
  • Amazon VPC Flow Logs
  • AWS Web Application Firewall
  • Cisco Umbrella

XDRからファイルをダウンロード🔗

  1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

  2. 有効なLambdaデプロイメントのインテグレーションのダウンロードアイコンを選択します。

    インテグレーションのダウンロードボタン

  3. CloudFormation共有リソースのダウンロードを選択し、taegis-cloudformation-shared-resources.yamlとして保存します。

  4. CloudFormation Lambdaテンプレートのダウンロードを選択し、taegis-cloudformation-lambda-template.yamlとして保存します。
  5. Lambdaのダウンロードを選択します。ファイル名はtaegis-lambda-amd64.zipとなります。

  6. 認証情報のダウンロードを選択します。

    Lambdaインテグレーションファイルのダウンロード

Lambda実行ファイルおよびCloudFormationテンプレートをS3にアップロード🔗

  1. 対象リージョンのAWSコンソール(例:https://us-east-1.console.aws.amazon.com/cloudformation)に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けることができるロールでログインします。

  2. ストレージセクションで、S3を選択します。

  3. Lambda実行ファイルおよび必要に応じてCloudFormationテンプレートを格納するための新しいバケットを作成するか、既存のバケットを探します。バケットはパブリック、バージョン管理、暗号化である必要はありません。

  4. Lambdaのtaegis-lambda-amd64.zipをバケットのルートにアップロードし、バケット名を控えておきます。

  5. 必要に応じて、taegis-cloudformation-shared-resources.yamlおよびtaegis-cloudformation-lambda-template.yamlも同じバケットにアップロードします。

    ヒント

    バケット名とキー(プレフィックスを含む)を控えておいてください。これらの識別子はスタック作成時に必要となります。

既存のLambdaデプロイメントが存在する各AWSリージョンで更新を実施🔗

Lambdaデプロイメントが存在する各AWSリージョンで共有リソーススタックを作成🔗

重要

共有リソーススタック(ステップ1~11)は、AWSリージョンごとに一度だけデプロイする必要があります。

  1. 対象リージョンのAWSコンソール(例:https://us-east-1.console.aws.amazon.com/cloudformation)に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けることができるロールでログインします。
  2. 管理とガバナンスセクションで、CloudFormationを選択します。

  3. taegis-cloudformation-shared-resources.yaml テンプレートを使用して新しいスタックを作成するために、スタックの作成を選択します。

    注意

    CloudFormationを選択した際、次の画像のようにCloudFormationスタックの一覧が表示される場合があります。その場合は、スタックの作成ドロップダウンを選択し、新しいリソース(標準)で作成を選択してください。

    新しいスタックの作成

  4. テンプレートの準備 セクションで、テンプレートの準備完了を選択します。

  5. テンプレートの指定 セクションで、Amazon S3 URLを選択するか、テンプレートファイルのアップロードを選択します。

  6. Amazon S3 URLを選択した場合は、事前に取得したCloudFormationオブジェクトのURLをAmazon S3 URLフィールドに入力します。例: https://cwl-poc.s3.amazonaws.com/taegis-cloudformation-shared-resources.yaml

    URLを見つけるには、S3サービスに移動し、taegis-cloudformation-shared-resources.yamlファイルをアップロードしたS3バケットを開きます。CloudFormationテンプレートを選択し、URLのコピーをクリックします。

    CloudFormation URLのコピー

  7. 次へを選択します。

  8. 適切なスタック名を入力します。

    注意

    スタック名にはスペースを使用できません。

  9. credentials.txtファイルの内容をSecretValueフィールドに入力します。

  10. XDRログインURLに基づいて、正しいTaegisRegionを選択します。たとえば、https://ctpx.secureworks.com/login を使用している場合はctpx、https://foxtrot.taegis.secureworks.com/ を使用している場合はfoxtrotを選択します。
  11. 次へを選択します。
  12. スタックオプションの設定ページでは、デフォルトの選択と値をそのまま使用できます。次へを選択します。
  13. 確認と作成ページで、送信を選択します。

現在稼働中のLambdaスタックを更新🔗

  1. 対象リージョンのAWSコンソール(例:https://us-east-1.console.aws.amazon.com/cloudformation)に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けられるロールでログインします。
  2. 管理とガバナンスセクションでCloudFormationを選択します。

  3. 既存のXDR Lambda CloudFormationスタックのボタンを選択します。

    注意

    初回のLambdaデプロイ時、Lambda CloudFormationスタックの名前には任意の文字列が使用されている可能性があります。デフォルトのCloudFormationテンプレートの説明が、既存のLambda CloudFormationスタックを特定する際に役立つ場合があります。例えば、「このCloudFormationテンプレートは、S3バケットに保存された<integration name>ログ用のSecureWorks TDR Lambda関数をデプロイします。」のように記載されています。ここで<integration name>は「awscloudtrail」などです。

  4. 画面右上から更新を選択します。

    Lambdaスタックの更新

  5. 現在のテンプレートを置き換えるを選択します。

    既存Lambdaスタックの置き換え

  6. テンプレートファイルをアップロードし、taegis-cloudformation-lambda-template.yamlを選択するか、テンプレートをS3バケットにアップロードしている場合はAmazon S3 URLオプションを使用します。

  7. 次へを選択します。

現在稼働中のLambdaスタックを更新🔗

  1. ドロップダウンからIntegrationTypeを選択します。これはNotificationBucket内のログオブジェクトの種類を示します。複数の種類がある場合や不明な場合は、genericを選択してください。

    Lambdaスタックのインテグレーションタイプ更新

  2. NotificationBucketフィールドは変更不要です。

  3. SNSNotificationarnフィールドも変更不要ですが、今後SNS通知を使用したい場合のみ変更してください。
  4. NotificationBucketCustomerManagedKMSarnフィールドも変更不要ですが、NotificationBucket内のオブジェクトがKMSキーで暗号化されている場合は、そのKMSキーARNを追加できます。KMSキーのポリシーには「IAMユーザー権限の有効化」が必要です。そうでない場合は、Lambda ARNをKMSキーに追加できます。
  5. TaegisLambdaS3BucketNameフィールドには、Lambda実行ファイルおよびCloudFormationテンプレートをS3にアップロードセクションで指定したbucketNameを入力してください。
  6. LambdaEnvKMSarnフィールドは空欄のままで問題ありません。入力する場合は、KMSキーに「IAMユーザー権限の有効化」が必要です。
  7. 残りのフィールドはデフォルトのままで問題ありません。
  8. 次へを選択します。

残りのスタックオプションを完了🔗

  1. スタックオプションの設定ページでデフォルトを受け入れ、次へをクリックします。

  2. スタックの変更内容を確認します。アクション論理IDリソースタイプ置換の値が以下のように一致していることを確認してください。

    CloudFormation変更セットプレビュー

  3. AWS CloudFormationがIAMリソースを作成する可能性があることを承認しますのチェックボックスを選択し、送信を選択します。

検証手順🔗

  1. 対象リージョンのAWSコンソール(例:https://us-east-1.console.aws.amazon.com/)でAmazon S3(例:https://s3.console.aws.amazon.com/s3/home?region=us-east-2)に移動し、ログが保存されているS3バケット(Notification Bucket)を選択します。

    S3バケットのプロパティ

  2. イベント通知セクションに移動します。Lambda関数が存在する場合は、それを選択して削除します。

    S3イベント通知

  3. Lambdaサービスに移動し、最近更新したLambda関数(例:lab-network-lambda-scwx-tdr-lambda-awscloudtrail)を選択し、S3トリガーを追加します。

  4. Lambdaランタイム設定を確認します。Runtimeの値は Amazon Linux 2上のカスタムランタイム である必要があります。

    Lambdaランタイム設定の確認

  5. AWS Lambdaログのテストを参照し、AWSコンソールでテストを設定してインテグレーション用のAWS Lambda関数が動作していることを確認します。

  6. AWSコンソールでインストール済みのLambda関数に移動します。エラーがある場合は、エラーの修正を選択します。

    Lambdaエラーの修正

  7. AWS Lambdaログの表示を参照し、AWS Lambda関数によって生成されたログを表示し、正常にアップロードされていることを確認します。これは、バケットに新しいS3データが公開されていることを前提に、トリガーが動作していることを検証します。

    {"level":"debug","time":"2023-11-15T19:27:19Z","message":"Uploading data to s3"}