AWS Security Hub のログを Sumo Logic に送信する方法
最初に
AWS Security Hub のログを Sumo Logic に送信する方法と、App Catalog を使った可視化について確認してみました。 単体アカウント / マルチアカウント統合されている AWS Security Hub でも設定方法は同じなので、参考にしていただければと思います。
また、AWS Security Hub のマルチアカウントについては、[アップデート]Security Hubが AWS Organizations と統合!組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | Developers IO を参考にしてみてください。
なお、AWS Security Hub 側の準備は整っており、ログを貯めこむ S3 バケットも作成済みの想定で進めさせていただきます。
AWS Security Hub ログ を Sumo Logic に連携する手順
こちらのドキュメント:Collecting Findings for the AWS Security Hub App | Sumo Logic を参考にやってみました。
まずは、下記の項目を Sumo Logic 側で作成します。
STEP 1 - Sumo Logic 側の設定
- Hosted Collector
- S3 Source
- Format
参考 URL:https://help.sumologic.com/docs/send-data/hosted-collectors/configure-hosted-collector/
※ Advanced Options for Logs の項目は次のように設定します。
yyyy-MM-dd'T'HH:mm:ss.SSS'Z'
.*"UpdatedAt": "(.*)".*
STEP 2 - AWS 側のデータ収集用のリソース展開
次に Sumo Logic が用意した AWS SAM テンプレートを使ってデータ送信のためのパイプラインを展開します。
本手順は、データ収集対象のアカウントで行ってください。マルチアカウント統合されている場合は、親となる AWS アカウントで展開します。
- AWS SAM テンプレートのデプロイ
AWS Serverless Application Repository - Sumologic-securityhub-collector | AWS にアクセスし、Deploy を選択します。
展開されるアプリケーションのスタック名と AWS Security Hub のログを貯めている S3 バケット名を入力します。カスタム IAM ロール作成の承諾のチェックボックスもチェックして、Deploy を選択します。
少しすると、Lambda のコンソール画面に遷移して、リソースが立ち上がっていることを確認します。
AWS Security Hub のログと Sumo Logic の連携手順はこれで以上になります。
データが入ってこない場合、よくあるのがアクセス許可の問題です。Sumo Logic → AWS リソースへのアクセス許可 を確認してみてください。
なお、手順としては STEP 1 の S3 Source 作成の部分で、Sumo Logic が AWS S3 バケットにデータを収集しに行くためのアクセス許可の設定部分になります。
App Catalog の紹介
Sumo Logic にデータ連携が出来ましたら、App Catalog で可視化をしてみましょう。
参考元:Installing the AWS Security Hub App | Sumo Logic
AWS Security Hub App の展開
App Catalog の画面で、検索バーに「AWS Security Hub」と入力すると App が表示されますので、選択します。
次に Install App を選択します。
あとは、S3 Source の Source Category と、ダッシュボード名、保存先を設定して Next を選択します。
しばらくすると App が作成されます。保存先フォルダを確認して、ダッシュボードを選択してみてください。
OverView ダッシュボードを開いてみました。このように簡単に可視化をすることが出来ます。
手順はここまでになります。
ダッシュボードのパネル名を変更する
上記の画像を見ていただいたら分かる通り、各項目の名前はすべて英語で表示されます。こうした時にパネル名を変更することも可能です。
パネルにカーソルを合わせると、右上に 3点リーダーが出ます。こちらを選択して Edit を押下します。
下記画面の赤枠の部分を選択してパネル名を変更できます。日本語も可能です。変更したら右上の Update Dashboard を選択してみると日本語のパネル名になります。
以上になります。なお、ダッシュボードの設定は、Dashboard (New) | Sumo Logic でも確認することが出来ます。
ダッシュボードの定期レポーティング
次に今年アップデートがあった Sumo Logic 定期レポーティング機能として、Scheduled Report | Sumo Logic をご紹介します。
こちらは、日 / 週 / 月 でダッシュボードの表示内容をメールアドレスなどへ定期的に通知する機能になります。これにより、これまで行っていた定期的な Export や、共有 URL の払い出しの解消が見込まれます。なお、出力形式は、PNG or PDF です。
それでは設定画面を見てみましょう。ダッシュボード右上の 3点リーダーを選択 > Create Schedule Report を選択します。
すると、下記の画面がポップアップされます。あとは、形式や頻度を選択してメールアドレスを入力し、Schedule を押下したら完了です。
画像の場合は、週次の MTG などを想定して月曜の 8:30 に取り込むように設定してみています。
まとめ
いかがでしたでしょうか。AWS Security Hub コンソールのフィルタリングや、表示項目など、色々と「こうしたい!」という要件があるかと思います。 Sumo Logic でも、内容によっては、クエリの編集や新規に作成する必要もありますが、ログさえあれば項目を絞り込んで簡単に表示したり、フィルターをかけて、AWS Account ID ごとにグラフを表示したりとカスタマイズできますので、様々なユーザビリティの向上を見込めます。
本記事では、AWS Security Hub との連携についてご紹介してきましたが、他のログ連携方法や。クエリの書き方、App Catalog などなど、今後もたくさん配信したいと思います。
本記事がどなたかの一助になれば幸いです。
