の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した AWS Shield Network Security Director API コールのログ記録 AWS CloudTrail
AWS Shield Network Security Director は と統合 AWS CloudTrail して、すべての API コールをイベントとして記録します。この統合は、ネットワークセキュリティディレクターコンソールからの呼び出し、ネットワークセキュリティディレクター APIs、および他の AWS サービスからの呼び出しをキャプチャします。
CloudTrail を使用すると、イベント履歴で最近のイベントを表示したり、証跡を作成して Amazon Simple Storage Service バケットに継続的なログを配信したりできます。これらのログには、発信者の ID、時刻、リクエストパラメータ、レスポンスなど、各リクエストに関する詳細が表示されます。
CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。
CloudTrail のネットワークセキュリティディレクター情報
CloudTrail は AWS アカウントで自動的に有効になります。ネットワークセキュリティディレクターでアクティビティが発生すると、CloudTrail にイベントとして記録されます。イベントの継続的な記録については、ログファイルを Amazon S3 バケットに配信する証跡を作成します。
証跡の作成と管理の詳細については、以下を参照してください。
CloudTrail によってログに記録される Network Security Director API オペレーション
すべてのネットワークセキュリティディレクター API オペレーションは CloudTrail によってログに記録され、 API リファレンスに記載されています。以下のオペレーションが含まれています。
-
StartNetworkSecurityScan: ネットワークセキュリティスキャンを開始します
-
GetNetworkSecurityScan: ネットワークセキュリティスキャンに関する情報を取得します。
-
ListResources: サービスで使用できるリソースを一覧表示します
-
GetResource: 特定のリソースに関する詳細情報を取得します。
-
ListFindings: セキュリティ検出結果を一覧表示します
-
GetFinding: 特定の検出結果に関する詳細情報を取得します。
-
UpdateFinding: 検出結果のステータスまたはその他の属性を更新します。
-
ListRemediations: 検出結果の修正推奨事項を一覧表示します
-
ListInsights: 検出結果とリソースに基づいてインサイトを一覧表示します
ネットワークセキュリティディレクターのログファイルエントリについて
CloudTrail ログエントリには、リクエストの実行者、実行日時、使用されたパラメータに関する情報が含まれます。StartNetworkSecurityScan アクションの例を次に示します。
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
GetNetworkSecurityScan アクションの例を次に示します。
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Amazon CloudWatch による CloudTrail ログのモニタリング
Amazon CloudWatch を使用して、CloudTrail ログの特定の API アクティビティをモニタリングおよびアラートできます。これにより、不正アクセスの試み、設定の変更、異常なアクティビティパターンを検出できます。
CloudWatch モニタリングを設定するには:
-
CloudWatch Logs にログを送信するように CloudTrail 証跡を設定する CloudWatch
-
ログイベントから特定の情報を抽出するメトリクスフィルターを作成する
-
これらのメトリクスに基づいてアラームを作成する
詳細な手順については、「Amazon CloudWatch Logs を使用した CloudTrail ログファイルのモニタリング」を参照してください。
ネットワークセキュリティディレクターを使用した CloudTrail のベストプラクティス
CloudTrail でセキュリティと監査可能性を最大化するには:
-
すべてのリージョンで CloudTrail を有効にして包括的なカバレッジを実現する
-
ログファイルの整合性検証を有効にして不正な変更を検出する
-
IAM を使用して、最小特権の原則に従って CloudTrail ログへのアクセスを制御する
-
CloudWatch アラームを使用して重要なイベントのアラートを設定する
-
CloudTrail ログを定期的に確認し、異常なアクティビティを特定する
