

# Zeek のソース設定
<a name="zeek-source-setup"></a>

## Zeek との統合
<a name="zeek-integration"></a>

Zeek を CloudWatch Logs と統合するには、ソースとパイプラインの両方を設定する必要があります。まず、データを受信するように Amazon S3 と Amazon SQS を設定して、Zeek ソースを設定します。次に、ソースから CloudWatch Logs にデータを取り込むように CloudWatch パイプラインを設定します。

## Amazon S3 と Amazon SQS を設定する手順
<a name="zeek-s3-sqs-setup"></a>

Amazon S3 バケットにログを送信するように Fluent Bit で Zeek を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の CloudWatch パイプラインの設定です。

**Fluent Bit を使用した Zeek ログの設定**
+ Fluent Bit (ログファイルを読み取り、Amazon S3 などの宛先に転送する軽量ログコレクター) を Zeek ホストにインストールし、Zeek ログファイル (`/opt/zeek/logs/current/*.log` など) をテーリングするように設定します。
+ Fluent Bit が Amazon S3 バケットにオブジェクトをアップロードするアクセス許可を持つように、AWS 認証情報 (IAM ロールまたは `aws configure`) を設定します。
+ Fluent Bit 設定を更新して S3 出力プラグインを使用し、Zeek ログのバケット名、リージョン、S3 キーパスを指定します。
+ Fluent Bit サービスを起動して有効にし、継続的に Zeek ログを収集し、ダウンストリーム取り込みのために Amazon S3 にアップロードします。

**Amazon S3 と Amazon SQS の設定**
+ Zeek ログを保存する Amazon S3 バケットは、同じ AWS リージョンに存在する必要があります。
+ イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。
+ Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。

## CloudWatch パイプラインの設定
<a name="zeek-pipeline-config"></a>

Zeek からデータを読み取るようにパイプラインを設定する場合は、データソースとして Zeek を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
<a name="zeek-ocsf-support"></a>

この統合は、OCSF スキーマバージョン v1.5.0 と、複数の OCSF クラスにマッピングされるイベントをサポートします。サポートされているイベントのマッピングを以下の表に示しています。


**Zeek OCSF イベントマッピング**  

| イベント名 | OCSF クラス | 
| --- | --- | 
| conn | ネットワークアクティビティ (4001) | 
| dns | DNS アクティビティ (4003) | 
| http | HTTP アクティビティ (4002) | 
| ssl | ネットワークアクティビティ (4001) | 
| ssh | SSH アクティビティ (4007) | 
| Kerberos | 認証 (3002) | 
| rdp | RDP アクティビティ (4005) | 
| ファイル | ネットワークアクティビティ (4001) | 
| notice | 検出結果 (2004) | 
| known\_hosts | 基本イベント (0) | 
| X509 | ネットワークアクティビティ (4001) | 
| ftp | FTP アクティビティ (4008) | 
| SMTP | E メールアクティビティ (4009) | 
| dhcp | DHCP アクティビティ (4004) | 
| ntlm | 認証 (3002) | 
| smb\_files | SMB アクティビティ (4006) | 
| SMB | SMB アクティビティ (4006) | 
| dce\_rpc | SMB アクティビティ (4006) | 
| ldap | 認証 (3002) | 
| ldap\_search | ネットワークアクティビティ (4001) | 
| quic | ネットワークアクティビティ (4001) | 
| トンネル | トンネルアクティビティ (4014) | 
| pe | 基本イベント (0) | 
| weird | 基本イベント (0) | 
| known\_services | 基本イベント (0) | 
| ソフトウェア | ソフトウェアインベントリ情報 (5020) | 
| reporter | 基本イベント (0) | 

OCSF マッピング変換と一致しないイベントは自動的に渡され、追加の処理なしで設定されたシンクに直接送信されます。