AWS Security Hub のログを Sumo Logic に送信する方法

最初に

AWS Security Hub のログを Sumo Logic に送信する方法と、App Catalog を使った可視化について確認してみました。 単体アカウント / マルチアカウント統合されている AWS Security Hub でも設定方法は同じなので、参考にしていただければと思います。

また、AWS Security Hub のマルチアカウントについては、[アップデート]Security Hubが AWS Organizations と統合！組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | Developers IO を参考にしてみてください。

なお、AWS Security Hub 側の準備は整っており、ログを貯めこむ S3 バケットも作成済みの想定で進めさせていただきます。

AWS Security Hub ログ を Sumo Logic に連携する手順

こちらのドキュメント：Collecting Findings for the AWS Security Hub App | Sumo Logic を参考にやってみました。

まずは、下記の項目を Sumo Logic 側で作成します。

STEP 1 - Sumo Logic 側の設定

• Hosted Collector

参考 URL：https://help.sumologic.com/docs/send-data/hosted-collectors/configure-hosted-collector/

• S3 Source

参考 URL：https://help.sumologic.com/docs/send-data/hosted-collectors/amazon-aws/aws-s3-source/#create-an-amazons3-source

※ Advanced Options for Logs の項目は次のように設定します。

• Format

yyyy-MM-dd'T'HH:mm:ss.SSS'Z'

• Timestamp locator

.*"UpdatedAt": "(.*)".*

STEP 2 - AWS 側のデータ収集用のリソース展開

次に Sumo Logic が用意した AWS SAM テンプレートを使ってデータ送信のためのパイプラインを展開します。

本手順は、データ収集対象のアカウントで行ってください。マルチアカウント統合されている場合は、親となる AWS アカウントで展開します。

• AWS SAM テンプレートのデプロイ

AWS Serverless Application Repository - Sumologic-securityhub-collector | AWS にアクセスし、Deploy を選択します。

展開されるアプリケーションのスタック名と AWS Security Hub のログを貯めている S3 バケット名を入力します。カスタム IAM ロール作成の承諾のチェックボックスもチェックして、Deploy を選択します。



少しすると、Lambda のコンソール画面に遷移して、リソースが立ち上がっていることを確認します。



AWS Security Hub のログと Sumo Logic の連携手順はこれで以上になります。

データが入ってこない場合、よくあるのがアクセス許可の問題です。Sumo Logic → AWS リソースへのアクセス許可 を確認してみてください。

なお、手順としては STEP 1 の S3 Source 作成の部分で、Sumo Logic が AWS S3 バケットにデータを収集しに行くためのアクセス許可の設定部分になります。

App Catalog の紹介

Sumo Logic にデータ連携が出来ましたら、App Catalog で可視化をしてみましょう。

参考元：Installing the AWS Security Hub App | Sumo Logic

AWS Security Hub App の展開

App Catalog の画面で、検索バーに「AWS Security Hub」と入力すると App が表示されますので、選択します。

次に Install App を選択します。

あとは、S3 Source の Source Category と、ダッシュボード名、保存先を設定して Next を選択します。

しばらくすると App が作成されます。保存先フォルダを確認して、ダッシュボードを選択してみてください。

OverView ダッシュボードを開いてみました。このように簡単に可視化をすることが出来ます。

手順はここまでになります。

ダッシュボードのパネル名を変更する

上記の画像を見ていただいたら分かる通り、各項目の名前はすべて英語で表示されます。こうした時にパネル名を変更することも可能です。

パネルにカーソルを合わせると、右上に 3点リーダーが出ます。こちらを選択して Edit を押下します。

下記画面の赤枠の部分を選択してパネル名を変更できます。日本語も可能です。変更したら右上の Update Dashboard を選択してみると日本語のパネル名になります。

以上になります。なお、ダッシュボードの設定は、Dashboard (New) | Sumo Logic でも確認することが出来ます。

ダッシュボードの定期レポーティング

次に今年アップデートがあった Sumo Logic 定期レポーティング機能として、Scheduled Report | Sumo Logic をご紹介します。

こちらは、日 / 週 / 月 でダッシュボードの表示内容をメールアドレスなどへ定期的に通知する機能になります。これにより、これまで行っていた定期的な Export や、共有 URL の払い出しの解消が見込まれます。なお、出力形式は、PNG or PDF です。

それでは設定画面を見てみましょう。ダッシュボード右上の 3点リーダーを選択 > Create Schedule Report を選択します。

すると、下記の画面がポップアップされます。あとは、形式や頻度を選択してメールアドレスを入力し、Schedule を押下したら完了です。

画像の場合は、週次の MTG などを想定して月曜の 8:30 に取り込むように設定してみています。

まとめ

いかがでしたでしょうか。AWS Security Hub コンソールのフィルタリングや、表示項目など、色々と「こうしたい！」という要件があるかと思います。 Sumo Logic でも、内容によっては、クエリの編集や新規に作成する必要もありますが、ログさえあれば項目を絞り込んで簡単に表示したり、フィルターをかけて、AWS Account ID ごとにグラフを表示したりとカスタマイズできますので、様々なユーザビリティの向上を見込めます。

本記事では、AWS Security Hub との連携についてご紹介してきましたが、他のログ連携方法や。クエリの書き方、App Catalog などなど、今後もたくさん配信したいと思います。

本記事がどなたかの一助になれば幸いです。