AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS CloudTrail を使用した AWS Shield ネットワークセキュリティディレクター API コールのログ記録
AWS Shield ネットワークセキュリティディレクターは AWS CloudTrail と統合して、すべての API コールをイベントとして記録します。この統合は、ネットワークセキュリティディレクターコンソールから行われた呼び出し、ネットワークセキュリティディレクター API へのプログラムによる呼び出し、および他の AWS サービスから行われた呼び出しをキャプチャします。
CloudTrail を使用すると、イベント履歴で最近のイベントを表示したり、証跡を作成して Amazon Simple Storage Service バケットに継続的なログを配信したりできます。これらのログは、発信者の ID、時刻、リクエストパラメータ、レスポンスなど、各リクエストに関する詳細を提供します。
CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。
CloudTrail のネットワークセキュリティディレクター情報
CloudTrail は、AWS アカウントで自動的に有効になります。ネットワークセキュリティディレクターでアクティビティが発生すると、CloudTrail にイベントとして記録されます。イベントの継続的な記録については、ログファイルを Amazon S3 バケットに配信する証跡を作成します。
証跡の作成と管理に関する詳細については、以下を参照してください。
CloudTrail によってログに記録されるネットワークセキュリティディレクター API オペレーション
すべてのネットワークセキュリティディレクター API オペレーションは CloudTrail によってログに記録され、 API リファレンスに文書化されます。以下のオペレーションが含まれています。
-
StartNetworkSecurityScan: ネットワークセキュリティスキャンを開始します
-
GetNetworkSecurityScan: ネットワークセキュリティスキャンに関する情報を取得します
-
ListResources: サービスで使用可能なリソースを一覧表示します
-
GetResource: 特定のリソースに関する詳細情報を取得します
-
ListFindings: セキュリティ検出結果を一覧表示します
-
GetFinding: 特定の検出結果に関する詳細情報を取得します
-
UpdateFinding: 検出結果のステータスまたはその他の属性を更新します
-
ListRemediations: 検出結果の修正推奨事項を一覧表示します
-
ListInsights: 検出結果とリソースに基づいてインサイトを一覧表示します
ネットワークセキュリティディレクターのログファイルエントリについて
CloudTrail ログエントリには、リクエストを行ったユーザー、リクエストが行われた日時、使用されたパラメータに関する情報が含まれます。StartNetworkSecurityScan アクションの例を次に示します。
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
GetNetworkSecurityScan アクションの例を次に示します。
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Amazon CloudWatch による CloudTrail ログのモニタリング
Amazon CloudWatch を使用して、CloudTrail ログの特定の API アクティビティをモニタリングおよびアラートできます。これにより、不正アクセスの試み、設定の変更、異常なアクティビティパターンを検出できます。
CloudWatch モニタリングを設定するには:
-
CloudWatch Logs にログを送信する CloudTrail 証跡を設定する
-
ログイベントから特定の情報を抽出するメトリクスフィルターを作成する
-
これらのメトリクスに基づいてアラームを作成する
詳細な手順については、「Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング」を参照してください。
ネットワークセキュリティディレクターを使用した CloudTrail のベストプラクティス
CloudTrail でセキュリティと監査可能性を最大化するには:
-
包括的なカバレッジのために、すべてのリージョンで CloudTrail を有効にする
-
不正な変更を検出するために、ログファイルの整合性検証を有効にする
-
最小特権の原則に従って、IAM を使用して CloudTrail ログへのアクセスを制御する
-
CloudWatch アラームを使用して、重要なイベントのアラートをセットアップする
-
異常なアクティビティを特定するために、CloudTrail ログを定期的に確認する
