クリア

Amazon Web Services(AWS)

EventLog AnalyzerでAWS環境を監視するには、特定の権限を持つ有効なIAMユーザーが必要です。EventLog Analyzerは、指定されたIAMユーザーを使用して、AWS環境からログを収集します。

注記:EventLog Analyzerは、AWS中国(北京)リージョンを除くすべてのAWSリージョンをサポートしています。

AWSコンソールでの新規IAMユーザーの作成

IAMユーザーは、AWSで作成するエンティティであり、AWSとやり取りするために使用する個人またはサービスを表します。

新規IAMユーザーを作成する手順は、以下のとおりです。

  1. AWSコンソールにログインします。
  2. IAMに移動する
    1. [サービス] → [セキュリティ、ID、およびコンプライアンス] → [IAM]に移動します。
  3. ユーザーを作成する
    1. 左ペインから[ユーザー]を選択し、[ユーザーを追加]をクリックします。
    2. 適切なユーザー名を入力して、[次へ]をクリックします。
  4. ポリシーをアタッチする
    1. [ポリシーを直接アタッチする]をクリックし、[ポリシーの作成]をクリックします。
    2. [ポリシーの作成]画面で[JSON]タブを選択します。
    3. CloudTrailを手動で構成するか自動で構成するかに応じて、適切なインラインポリシーをコピー&ペーストします。
      • 自動設定:EventLog AnalyzerでCloudTrailを自動設定する場合は、提供されているインラインポリシーをコピー&ペーストします。
      • 手動設定:CloudTrailを手動で設定する場合は、提供されているインラインポリシーをコピー&ペーストします。

      以下画面の[ポリシー文書]からインラインポリシーを確認できます。

      manage-cloud-sources-16.png
    4. [次へ]をクリックします。
    5. ポリシーの名前を入力し、[ポリシーの作成]をクリックします。
    6. 元のタブに戻り、ポリシーテーブルをリフレッシュして新規作成したポリシーを選択し、[次へ]をクリックします。
  5. ユーザー作成を完了する
    1. 設定内容を確認のうえ、[ユーザーの作成]をクリックします。
  6. セキュリティ認証情報を作成する
    1. 作成したユーザーをクリックします。
    2. [セキュリティ認証情報]に移動し、[アクセスキー]配下の[アクセスキーを作成]をクリックします。
    3. [サードパーティサービス]を選択し、チェックボックスにチェックを入れます。
    4. [次へ]をクリックし、[アクセスキーを作成]をクリックします。
    5. .csvファイルをダウンロードし、アクセスキーIDとシークレットアクセスキーを保存します。

生成されたアクセスキーIDとシークレットアクセスキーの組み合わせは、EventLog Analyzer内でAWSアカウントを設定する際に使用します。


EventLog AnalyzerでのAWS認証情報の入力

  1. EventLog Analyzerコンソールにログインします。
  2. [設定]タブ → [管理者権限] → [ドメインとアカウント] → [クラウドアカウントを構成]タブに移動します。
  3. [+クラウドアカウントを追加]をクリックします。
  4. クラウドアカウントを選択にて、[AWS]を選択します。
  5. [表示名]を入力します。
  6. 該当フィールドにIAMユーザーのアクセスキーIDシークレットアクセスキーを入力します。
  7. CloudTrailを追加します。
    • 自動設定リージョンを選択します。EventLog AnalyzerがCloudTrailを自動的に作成、設定します。[保存]をクリックします。

      • 注記:EventLog Analyzerは、以下のリソースを作成します。


      • S3バケット:(アカウント番号)-cloudtraillogs-(リージョン)
      • SNSトピック:cloudtrailtopic
      • SQSキュー:cloudtrailqueue
      • CloudTrail:cloudtrail
    • 手動設定[既存のクラウドトレイル]をクリックし、ログ記録の設定:Amazon CloudTrailログに記載されている手順を実施します。

AWS環境のログ記録の設定を行うには、S3サーバーアクセスログとELBアクセスログをご参照ください。


クラウドソースの管理

ログ記録の設定:Amazon CloudTrailログ

CloudTrailは、AWSが提供するAPIログ監視Webサービスです。これにより、AWSユーザーはAPIコールを記録し、ログファイルをAmazon S3バケットに送信して保存できます。このサービスは、APIコール元のID、APIコールの時刻、APIコール元のソースIPアドレス、リクエスト、AWSサービスによって返された応答要素などのAPI操作の詳細を提供します。また、いくつかの非APIイベント(AWSサービスイベントおよび、AWSコンソールサインインイベント)も記録します。

CloudTrailは、ログファイルが送信される毎に通知を送信するように設定することもできるため、ユーザーはログファイルの送信時にアクションを実行できます。

  1. CloudTrailを有効化する
    1. AWSコンソールにログインします。
    2. [サービス] → [管理とガバナンス] → [CloudTrail]に移動します。
    3. [証跡の作成]をクリックします。
    4. [詳細]をクリックし、不足している情報を入力します。
  2. SNSトピックを設定する
    1. SNSトピックを作成します。
    2. 以下のオプションを選択します。
      • すべてのリージョンに証跡を適用する → はい
      • 新しいS3バケットを作成する → はい
      • S3バケット → 新しい名前を入力
      • ログファイルのプレフィックス → プレフィックスを入力
      • ログファイルを暗号化する → いいえ
      • ログファイルの検証を有効化する → はい
      • ログファイルの送信毎にSNS通知を送信する → はい
      • 新しいSNSトピックを作成する → はい
      • 新しいSNSトピック → トピックに名前を付ける
    3. 作成をクリックします。
      manage-cloud-sources-01.png
  3. SQSキューを作成し、手順2で作成したSNSトピックにサブスクライブする
    1. [サービス] → [アプリケーション統合] → [Simple Queue Service](SQS)に移動します。
    2. [キューを作成]をクリックし、必要な情報を入力します。
    3. CloudTrailを有効化した際に作成したSNSトピックに、このSQSキューをサブスクライブする必要があります。手順は、以下のとおりです。
      1. 作成したSQSキューを選択します。
      2. キューアクションのドロップダウンメニューから、[SNSトピックへのキューのサブスクライブ]を選択します。
        manage-cloud-sources-02.png

      注記:Amazon SNS rawメッセージの配信を無効化する必要があります。

  4. 作成したSQSキューをEventLog Analyzerのデータソースとして追加する
    1. EventLog Analyzerコンソールにログインします。
    2. [設定]タブ → [管理者権限] → [ドメインとアカウント] → [クラウドアカウントを構成]タブに移動します。
      manage-cloud-sources-03.png
    3. [+データソースを追加する]をクリックし、データソースの種類として[CloudTrail]を選択します。
    4. AWSリージョン、証跡、SQSキューを選択します。
      manage-cloud-sources-04.png
    5. [追加]をクリックします。

ログ記録の設定:Amazon S3サーバーアクセスログ

S3サーバーアクセスログとは?
S3バケットへのアクセスリクエストは、アクセスログを使用して追跡できます。各アクセスログレコードには、リクエスト者、バケット名、リクエスト時間、リクエストアクション、応答ステータス、エラーコード(存在する場合)など、単一のアクセスリクエストに関する情報が表示されます。このアクセスログ情報は、トラフィックの状態を確認するのに役立ちます。

以下の手順で、Amazon S3サーバーアクセスログを、EventLog Analyzerのデータソースとして追加できます。

  1. EventLog Analyzerコンソールにログインします。
  2. [設定]タブ → [管理者権限] → [ドメインとアカウント] → [クラウドアカウントを構成]タブに移動し、[+データソースを追加する]をクリックします。
    manage-cloud-sources-05.png
  3. データソースの種類として、[S3サーバーアクセスログ]を選択します。
  4. アクセスログを有効化するS3バケットを選択します。
    manage-cloud-sources-06.png
  5. [追加]をクリックします。

ログ記録の設定:Amazon ELBアクセスログ

Elastic Load Balancer(ELB)のアクセスログは、ロードバランサーに対して行われたリクエストに関する情報をキャプチャし、トラフィックパターンの分析や問題のトラブルシュートに使用できます。このログには、リクエストの受信時刻、クライアントのIPアドレス、遅延時間、リクエストパス、サーバーのレスポンスなどの情報が含まれます。

以下の手順で、Amazon ELBアクセスログを、EventLog Analyzerのデータソースとして追加できます。

  1. EventLog Analyzerコンソールにログインします。
  2. [設定]タブ → [管理者権限] → [ドメインとアカウント] → [クラウドアカウントを構成]タブに移動し、[+データソースを追加する]をクリックします。
    manage-cloud-sources-07.png
  3. データソースの種類として、[ELBアクセスログ]を選択します。
  4. アクセスログを有効にするリージョンとロードバランサーを選択します。
    manage-cloud-sources-08.png
  5. [追加]をクリックします。

注記:現状、EventLog Analyzerは従来のロードバランサーのみをサポートしており、ネットワークおよびアプリケーションロードバランサーはサポートしていません。


クラウドソースの有効化/無効化

EventLog Analyzerでクラウドソースを有効化する手順は、以下のとおりです。

  1. 有効化するデータソースの[アクション]列にあるアイコンをクリックします。
    manage-cloud-sources-09.png
  2. データソースが有効化されます。

EventLog Analyzerでクラウドソースを無効化する手順は、以下のとおりです。

  1. 無効化するデータソースの[アクション]列にあるアイコンをクリックします。
    manage-cloud-sources-10.png
  2. データソースが無効化されます。

クラウドソースの削除

EventLog Analyzerでクラウドソースを削除する手順は、以下のとおりです。

  1. 削除するデータソースの[削除](ゴミ箱)アイコンをクリックします。
    manage-cloud-sources-11.png
  2. データソースが削除されます。

Salesforce

EventLog Analyzerは、全体的なセキュリティ体制でのより広いコンテキストにおける、Salesforceユーザーのアクティビティを分析するのに役立ちます。Salesforceのアクティビティを監視することで、疑わしいログイン試行の検出や、特権ユーザーのアクティビティの追跡、不正なアクセス試行やデータ変更の特定ができるようになります。

Saleforceで権限を持つ接続アプリケーションを作成

  1. Salesforceアカウントにログインします。ログインしたユーザーアカウントでAPIが有効化されていることを確認します。

    2. 注記:EventLog AnalyzerでSalesforceログを取得、分析するため、Salesforceで「イベントモニタリング」のアドオンライセンスを保持していることをご確認ください。


    管理者以外のユーザーを使用する場合は、以下の権限が有効化されていることをご確認ください。


    必要な権限:


    • イベントログファイルの表示(イベントログ収集のため)
    • 管理と構成の表示(監査ログ収集のため)
    • 役割と役割階層の表示(監査ログ収集のため)
  2. [設定] → [ビルド] → [作成] → [アプリケーション] → [接続アプリケーション]に移動します。
  3. [新規]をクリックし、接続アプリケーション名取引先責任者メールコールバックURLを入力します。
    manage-cloud-sources-12.png
  4. OAuth設定を有効化し、フルアクセス権限を付与します。
  5. [保存]をクリックします。接続アプリケーションが作成されます。
  6. [続行]をクリックして、コンシューマー鍵コンシューマーの秘密を表示します。
    manage-cloud-sources-13.png
  7. [設定] → [管理] → [アプリケーションを管理する] → [接続アプリケーション]に移動します。
  8. 新しく作成された接続アプリケーションをクリックします。[OAuthポリシー] → [IP制限の緩和]のドロップダウンメニューから[IP制限の緩和]を選択します。
    manage-cloud-sources-14.png
  9. [保存]をクリックします。

SalesforceクライアントURLを取得する方法

  1. Salesforceのログインページを開き、ログインURLをコピーします。

    2. )https://testingtech-ap48.my.salesforce.com

  2. [ログインURL]フィールドに以下の形式でURLを貼り付けます。

    3. )https://login.testingtech-ap48.my.salesforce.com.

注記:SalesforceログインURLの「https://」の後に「login.」を追加してください。

manage-cloud-sources-15.png

EventLog AnalyzerにSalesforceの認証情報を入力

  1. [設定]タブをクリックします。
  2. [管理者権限] → [管理] → [ドメインとアカウント] → [クラウドアカウントを構成]タブに移動します。
  3. [+クラウドアカウントを追加]をクリックします。
  4. クラウドアカウントを選択にて、[Salesforce]を選択します。
  5. [表示名]を入力します。
  6. ユーザー名パスワード消費者キー(コンシューマー鍵)消費者シークレット(コンシューマーの秘密)ログインURLを入力すると、EventLog Analyzerがログを収集できるようになります。
       概要