Intelligence へのAWS 環境の手動オンボーディング

このトピックでは、レガシーオンボードエクスペリエンスを使用してAWS 環境をオンボードする方法について説明します。Unified onboarding プロセスの新しい経験については、Intelligence へのAWS 環境のオンボード を参照してください。

インテリジェンスにオンボードするには、CloudGuard にオンボードする必要があります。アカウントがまだオンボードされていない場合は、AWS 環境のオンボードの手順に従ってください。

Intelligence は、AWS アカウントから VPC フローログ および CloudTrail ログを使用します。これらのログは AWS S3 バケットに接続する必要があります。

以下のオンボーディングプロセスでは、AWS 環境にIAM ポリシーを追加します。

選択したAWS アカウントからIntelligence へのオンボード情報に対して、AWS コンソールでのオンボード処理のいくつかのステップとCloudGuardポータルの他のいくつかのステップを実行する必要があります。

- フローログとCloudTrail は、アカウントごとに個別にオンボードする必要があります。

オンボーディングモードの定義

Intelligence への環境のオンボードを開始する前に、どのオンボードモードがニーズに最適であるかを検討してください。モードが不明な場合は、標準オンボードを選択します。

標準オンボード

このモードでは、1 つまたは複数の S3 バケットにログを送信する 1 つの AWS 環境を、すべてその環境内にあるデフォルトの AWS 設定で接続できます。S3 バケットでは、CloudTrail または Flow Logs の場所が AWS のデフォルトの宛先 (プレフィックス) である必要があります。

AWS environment に追加する IAM ポリシーは、S3 イベント通知を作成するための CloudGuard アクセス許可を付与します。詳細については、https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html.を参照してください。アクセス許可を使用して、VPC フローログと CloudTrail ログを受信できます。インテリジェンスにオンボードするアカウントごとに、これらの手順を繰り返します。アカウントにアクセス許可が付与されている場合、そのアカウントのすべてのVPC とCloudTrail ログに十分です。

標準オンボードには、次の手順が含まれます。

  • Prerequisites - 開始する前に、必要なコンポーネントがすべて揃っていることを確認してください。

  • Log Destination - ログの送信先 (CloudTrail または Flow Logs がログを配信する S3 バケットの名前) を選択します。

  • IAM Policy - CloudGuardインテリジェンス用のIAM ポリシーを準備します。

  • Summary - インテリジェンスに搭載するコンポーネントを確認します。

カスタムオンボーディング

カスタムオンボーディングプロセス中に、CloudGuard は SNS トピックへのサブスクリプションを作成し、この SNS トピックにログを送信する S3 バケットからログを取得するアクセス許可を受け取ります。このモードは、通常、3 つの主なユースケースに適用されます。

  • 1 つの (一元) S3 バケットにログを送信する複数の環境があります。一元型 S3 バケットを持ち、他のすべての接続されたアカウントのログを含む AWS 環境は、Root Account です。

    オンボーディングプロセス中に、一元型バケットにログを送信する複数のアカウントをオンボードするように選択できます。いずれかのアカウントを後でオンボードする場合は、アカウントのページからオンボードへではなく、ルートアカウントのページからオンボードウィザードを開始します。

  • デフォルト以外のプレフィックスを使用して、ログを保持する S3 バケット内のデータを整理します。

  • ログを別のサードパーティの宛先(SIEM など) に送信する必要があります。特定のプレフィックスの場合、AWS は単一の宛先へのイベント通知のみをサポートします。ログをSNSトピックに送信し、この方法で複数のサブスクライバに配布することができます。

カスタムオンボーディングには、次の手順が含まれます。

  • Prerequisites - 開始する前に、必要なコンポーネントがすべて揃っていることを確認してください。

  • Configuration - SNS トピックを設定します。既存のトピックを使用するか、存在しない場合は新しいトピックを作成し、S3 バケットにアタッチします。バケットごとに 1 つの SNS トピックのみが許可されることを注します。

  • Buckets - ログを保持し、SNSトピックにイベントを送信する一元型バケットを選択します。

  • Accounts - Intelligence にオンボードするログを持つクラウドアカウントを選択します。

    - Root Account の一元型S3 バケットにログを送信する複数のConnected アカウントを持つことができます。Accounts ページでは、Intelligence へのオンボードに関連するアカウントのみを選択できます。

  • IAM Policy - CloudGuardインテリジェンス用のIAM ポリシーを準備します。

  • Summary - インテリジェンスに搭載するコンポーネントを確認します。

既知の制限

  • 一元型 S3 バケットは 2 つの SNS トピックにイベントを送信できません。1 つの S3 バケット = 1 つの SNS トピック。

  • 暗号化されたSNS を使用している場合、Intelligence にアカウントをオンボードすることはできません。

これらおよび他のCloudGuardの制限については、既知の制限 を参照してください。

CloudTrail を使用したAccount Activity へのオンボーディング

CloudGuard で次の手順に従って、CloudTrail でアカウントアクティビティを有効にします。

  1. CloudGuard で、Assets メニューをクリックし、Environments ページが開いていることを確認します。

  2. AWS 環境のリストで、Intelligence にオンボードするAWS 環境を見つけます。Custom Onboarding の場合、この環境はroot アカウントである必要があります。

  3. 環境行とAccount activity カラムで、Enable Account activity をクリックしてIntelligence オンボードウィザードを開始します。

    または、アカウントページをクリックして入力することもできます。右上のメニューで、Add Intelligence をクリックし、CloudTrail を選択します。

  4. 画面上の指示に従ってウィザードを完了します。

フローログを使用したトラフィックアクティビティへのオンボーディング

フローログでトラフィックアクティビティを有効にするには、CloudGuard で次の手順を実行します。

  1. CloudGuard で、Assets メニューをクリックし、Environments ページが開いていることを確認します。

  2. AWS 環境のリストで、Intelligence にオンボードするAWS 環境を見つけます。Custom Onboarding の場合、この環境はroot アカウントである必要があります。

  3. アカウント行とTraffic activity カラムで、Enable Traffic activity をクリックしてIntelligence オンボードウィザードを開始します。

    または、環境ページをクリックして入力することもできます。右上のメニューで、Add Intelligence をクリックし、Flow Logs を選択します。

  4. 画面上の指示に従ってウィザードを完了します。

Intelligence オンボードのトラブルシューティング

インテリジェンスオンボーディングの最も一般的な問題は、オンボーディングウィザードを使用してすべての手順を実行した後、CloudGuardポータルにログが表示されないことです。

考えられる原因:

これらのアクションがすべて終了してもログが表示されない場合は、contact support に連絡してください。