ログ記録とイベント - AWS Security Incident Response ユーザーガイド

ログ記録とイベント

AWS CloudTrail – AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、およびリスク監査などを可能にするサービスです。CloudTrail を使用すると、AWS サービス全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、保持できます。CloudTrail は、AWS Management Console、AWS SDK、コマンドラインツール、およびその他の AWS サービスを通じて実行されたアクションなどの AWS アカウントアクティビティのイベント履歴を提供します。このイベント履歴により、セキュリティ分析、リソースの変更追跡、トラブルシューティングが簡素化されます。CloudTrail は次の 2 種類の AWS API アクションをログに記録します。

  • CloudTrail 管理イベント (コントロールプレーンオペレーションとも呼ばれる) は、AWS アカウントのリソースで実行される管理オペレーションを示します。これには、Amazon S3 バケットの作成やログ記録の設定などのアクションが含まれます。

  • CloudTrail データイベント (データプレーンオペレーションとも呼ばれる) は、AWS アカウントのリソース上またはリソース内で実行したリソースオペレーションを示します。これらの操作は、多くの場合、高ボリュームのアクティビティです。これには、Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObjectPutObject API オペレーション) や Lambda 関数の呼び出しアクティビティなどのアクションが含まれます。

AWS Config – AWS Config は、お客様が AWS リソースの設定の査定、監査、評価を行えるようにするサービスです。AWS Config は、AWS リソース設定を継続的に監視および記録し、記録された設定を、必要な設定に照らして自動的に評価することができます。AWS Config を使用すると、手動または自動での AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、お客様のガイドラインで指定された設定に対して、全体的なコンプライアンスを判断できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化できます。

Amazon EventBridge – Amazon EventBridge は、AWS リソースの変更を記述したシステムイベントのストリームをほぼリアルタイムに配信するか、または API コールが AWS CloudTrail によって公開されたときに配信します。すぐに設定できる簡単なルールを使用して、ルールに一致したイベントを 1 つ以上のターゲット関数またはストリームに振り分けることができます。オペレーションの変更が発生すると、EventBridge はその変更を認識します。EventBridge は、これらのオペレーションの変更に応答し、必要に応じて、応答メッセージを環境に送り、機能をアクティブ化し、変更を行い、状態情報を収集することによって、修正アクションを実行します。Amazon GuardDuty などの一部のセキュリティサービスは、EventBridge イベントの形式で出力を生成します。多くのセキュリティサービスは、出力を Amazon S3 に送信するオプションも提供しています。

Amazon S3 アクセスログ – 機密情報が Amazon S3 バケットに保存されている場合、お客様は Amazon S3 アクセスログを有効にして、そのデータに対するすべてのアップロード、ダウンロード、変更を記録できます。このログは、バケット自体への変更 (アクセスポリシーやライフサイクルポリシーの変更など) を記録する CloudTrail ログとは別に追加されます。アクセスログレコードの配信は、ベストエフォートベースで行われることに注意してください。ログ記録用に適切にバケットを設定した場合、そのバケットへのほとんどのリクエストについてログレコードが配信されます。サーバーログの完全性や適時性は保証されません。

Amazon CloudWatch Logs – お客様は、CloudWatch Logs エージェントを使用して Amazon EC2 インスタンスで実行されているオペレーティングシステム、アプリケーション、その他のソースから発信されたログファイルを、Amazon CloudWatch Logs を使用して監視、保存、およびアクセスできます。CloudWatch Logs は、AWS CloudTrail、Route 53 DNS クエリ、VPC フローログ、Lambda 関数などの送信先になります。関連するログデータは CloudWatch Logs から取得することができます。

Amazon VPC フローログ – VPC フローログを使用すると、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャすることができます。フローログを有効にした後で、Amazon CloudWatch Logs と Amazon S3 にストリーミングできます。VPC フローログは、特定のトラフィックがインスタンスに到達しない理由のトラブルシューティング、過度に制限の厳しいセキュリティグループルールの診断、EC2 インスタンスへのトラフィックを監視するためのセキュリティツールとしての使用など、さまざまなタスクでお客様を支援します。VPC フローログの最新バージョンを使用して、最も堅牢なフィールドを取得できます。

AWS WAF ログ – AWS WAF は、サービスによって検査されたすべてのウェブリクエストの完全なログ記録をサポートします。お客様は、これらを Amazon S3 に保存して、コンプライアンスと監査の要件を満たすだけでなく、デバッグとフォレンジックも実行できます。これらのログは、開始されたルールとブロックされたウェブリクエストの根本原因をお客様が判断するのに役立ちます。ログは、サードパーティーの SIEM およびログ分析ツールと統合できます。

Route 53 Resolver クエリログ – Route 53 Resolver クエリログを使用すると、Amazon Virtual Private Cloud (Amazon VPC) 内のリソースによって行われたすべての DNS クエリをログに記録できます。Amazon EC2 インスタンス、AWS Lambda 関数、またはコンテナのいずれであっても、Amazon VPC 内から DNS クエリを行うと、この機能がそれをログに記録します。これにより、アプリケーションの動作を調べて理解を深めることができます。

その他の AWS ログ – AWS は、お客様向けにサービス機能を継続的にリリースし、新しいログ記録およびモニタリング機能を提供しています。各 AWS サービスで使用できる機能の詳細については、公開ドキュメントを参照してください。