View a markdown version of this page

Zeek のソース設定 - Amazon CloudWatch
Zeek との統合Amazon S3 と Amazon SQS を設定する手順CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

Zeek のソース設定

Zeek との統合

Zeek を CloudWatch Logs と統合するには、ソースとパイプラインの両方を設定する必要があります。まず、データを受信するように Amazon S3 と Amazon SQS を設定して、Zeek ソースを設定します。次に、ソースから CloudWatch Logs にデータを取り込むように CloudWatch パイプラインを設定します。

Amazon S3 と Amazon SQS を設定する手順

Amazon S3 バケットにログを送信するように Fluent Bit で Zeek を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の CloudWatch パイプラインの設定です。

Fluent Bit を使用した Zeek ログの設定

  • Fluent Bit (ログファイルを読み取り、Amazon S3 などの宛先に転送する軽量ログコレクター) を Zeek ホストにインストールし、Zeek ログファイル (/opt/zeek/logs/current/*.log など) をテーリングするように設定します。

  • Fluent Bit が Amazon S3 バケットにオブジェクトをアップロードするアクセス許可を持つように、AWS 認証情報 (IAM ロールまたは aws configure) を設定します。

  • Fluent Bit 設定を更新して S3 出力プラグインを使用し、Zeek ログのバケット名、リージョン、S3 キーパスを指定します。

  • Fluent Bit サービスを起動して有効にし、継続的に Zeek ログを収集し、ダウンストリーム取り込みのために Amazon S3 にアップロードします。

Amazon S3 と Amazon SQS の設定

  • Zeek ログを保存する Amazon S3 バケットは、同じ AWS リージョンに存在する必要があります。

  • イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。

  • Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。

CloudWatch パイプラインの設定

Zeek からデータを読み取るようにパイプラインを設定する場合は、データソースとして Zeek を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合は、OCSF スキーマバージョン v1.5.0 と、複数の OCSF クラスにマッピングされるイベントをサポートします。サポートされているイベントのマッピングを以下の表に示しています。

Zeek OCSF イベントマッピング
イベント名 OCSF クラス
conn ネットワークアクティビティ (4001)
dns DNS アクティビティ (4003)
http HTTP アクティビティ (4002)
ssl ネットワークアクティビティ (4001)
ssh SSH アクティビティ (4007)
Kerberos 認証 (3002)
rdp RDP アクティビティ (4005)
ファイル ネットワークアクティビティ (4001)
notice 検出結果 (2004)
known_hosts 基本イベント (0)
X509 ネットワークアクティビティ (4001)
ftp FTP アクティビティ (4008)
SMTP E メールアクティビティ (4009)
dhcp DHCP アクティビティ (4004)
ntlm 認証 (3002)
smb_files SMB アクティビティ (4006)
SMB SMB アクティビティ (4006)
dce_rpc SMB アクティビティ (4006)
ldap 認証 (3002)
ldap_search ネットワークアクティビティ (4001)
quic ネットワークアクティビティ (4001)
トンネル トンネルアクティビティ (4014)
pe 基本イベント (0)
weird 基本イベント (0)
known_services 基本イベント (0)
ソフトウェア ソフトウェアインベントリ情報 (5020)
reporter 基本イベント (0)

OCSF マッピング変換と一致しないイベントは自動的に渡され、追加の処理なしで設定されたシンクに直接送信されます。