Amazon Athena データ・ソースへの接続

オンライン編集

Amazon Athena データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが Amazon Athena セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

始める前に

AWS 管理者と連携して、 CloudWatch データ・ソースを照会するためのアクセス権限を持つユーザー・アカウントを取得します。

Amazon Athena での VPC フロー・ログの構成
  1. Amazon コンソールで VPC フロー・ログを有効にします。
  2. Amazon S3 バケットにログを保存するように VPC フロー・ログ・サービスを構成します。 詳しくは、 Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html) を参照してください。
  3. Amazon Athena サービスで VPC フロー・ログ用の Amazon VPC テーブルを作成します。 詳しくは、 Amazon VPC フロー・ログの照会 (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) を参照してください。

Amazon Athena での Amazon GuardDuty の構成

  1. Amazon コンソールで GuardDuty 機能を有効にします。
  2. Amazon S3 バケットに検出結果をエクスポートするように GuardDuty フィーチャーを構成します。 詳しくは、 検出結果のエクスポート (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html) を参照してください。
  3. Amazon AthenaGuardDuty 検出結果の表を作成します。 詳しくは、 Amazon GuardDuty 検出結果の照会 (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html) を参照してください。
Amazon Athena での Amazon Security Lake の構成
  1. Amazon コンソールで 「Amazon Security Lake」 を有効にして開始します。 詳しくは、 Amazon Security Lake の概要 (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) を参照してください。
  2. Amazon Security Lake が Open Cybersecurity Schema Framework (OCSF) 形式でログを保管することを確認します。 詳しくは、 Open Cybersecurity Schema Framework (OCSF) format (https://schema.ocsf.io/) を参照してください。
  3. クライアント・プログラムは、サブスクライバーとして AWS Lake Formation 表に対する照会アクセス権限を持っている必要があります。 以下のリストには、 Amazon Athena コネクターに対する最小限の IAM 権限が含まれています。
    • "athena:GetQuery実行"
    • "athena:GetQuery結果"
    • "athena:ListWorkグループ"
    • "athena:StartQuery実行"
    • "athena:StopQuery実行"
    • "グルー:GetDatabases"
    • "グルー:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    詳しくは、 Subscriber management in Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) を参照してください。

クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 IBM® Security Edge Gateway を使用してコンテナーをホストします。 Edge Gateway は V1.6 以降でなければなりません。 詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

このタスクについて

Amazon Athena は、標準 SQL を使用して Amazon S3内のデータを分析します。 Amazon GuardDuty ログおよび VPC フロー・ログのデータ・ソース接続がサポートされています。

Structured Threat Information eXpression (STIX) は、組織がサイバー脅威インテリジェンスを交換するために使用する言語およびシリアライゼーション・フォーマットです。 Amazon Athena コネクターは、 STIX パターンを使用して Amazon Athena データを照会し、結果を STIX オブジェクトとして返します。 Amazon Athena データ・スキーマを STIXにマップする方法について詳しくは、 Amazon Athena STIX マッピング (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md) を参照してください。

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
  3. 「Amazon アサナ」をクリックし、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
    2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
    3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
    4. 「地域」 フィールドで、データ・ソースの Amazon Athena 地域を設定します。 Amazon Athena エンドポイントおよび割り当て量 (https://docs.aws.amazon.com/general/latest/gr/athena.html) の「サービス・エンドポイント」テーブルの「地域」列から地域コードを選択します。
    5. Amazon S3 「バケットの場所」 フィールドで、照会結果が保管される S3 バケットの場所を設定します。
    6. VPC フロー・ログで Amazon Athena を使用している場合は、 「VPC フロー・ログ・データベース名 (オプション) (VPC Flow Logs database name (optional))」 フィールドに、VPC フロー・ログが含まれているデータベースの名前を指定します。
    7. VPC フロー・ログで Amazon Athena を使用している場合は、 「VPC フロー・ログ・テーブル名 (オプション) (VPC Flow Logs table name (optional))」 フィールドに、VPC フロー・ログが含まれているテーブルの名前を指定します。
    8. Amazon GuardDutyAmazon Athena を使用している場合は、 「Amazon GuardDuty データベース名 (オプション)」 フィールドに、 Amazon GuardDuty ログが含まれているデータベースの名前を指定します。
    9. Amazon GuardDutyAmazon Athena を使用している場合は、 「Amazon」 GuardDuty テーブル名 (オプション) フィールドに、 Amazon GuardDuty ログが含まれているテーブルの名前を指定します。
    10. Amazon Athena を使用して Amazon Security Lake ログを照会する場合は、 「OCSF ログ・データベース名 (オプション) (OCSF logs database name (optional))」 フィールドに、セキュリティー・ログが含まれている AWS Lake 構成データベースの名前を指定します。
    11. Amazon Athena を使用して Amazon Security Lake ログを照会する場合は、 「OCSF ログ・テーブル名 (オプション) (OCSF logs table name (optional))」 フィールドに、セキュリティー・ログを含む AWS Lake 形成表の名前を指定します。
  5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
    1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
    2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
    3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
    4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
    重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
  6. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
  7. ID およびアクセス権限を構成します。
    1. 「構成の追加」をクリックします。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    5. AWS 認証を確立して、 AWS 検索 API へのアクセスを有効にします。
      • AWS 鍵ベースの認証を確立するには、 AWS Access key id および AWS secret access key パラメーターに値を入力します。
      • AWS 役割ベースの認証を確立するには、 AWS アクセス・キー IDAWS 秘密アクセス・キー、および AWS IAM 役割 の各パラメーターの値を入力します。
      • AWS リソースへのアクセス権限を付与し、「役割の推定」認証を確立するには、 「 AWS 「役割の推定」 パラメーターに値を入力します。 詳しくは、「 Using an external ID for third-Party access 」(https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) を参照してください。
      AWS 認証について詳しくは、 AWS 認証の構成を参照してください。
    6. 「追加」をクリックします。
    7. 構成を保存して接続を確立するには、 「完了」をクリックします。
    追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。
    データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
    ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

    このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

  8. 構成を編集するには、以下の手順を実行します。
    1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

次に実行するタスク

IBM Security Data Explorer を使用して照会を実行し、接続をテストします。 Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。