イルミオ ASP のほとんど知られていない機能 — Amazon S3 バケットへのログエクスポート
このクイックシリーズでは、イルミオの製品管理チームがあまり知られていない(しかしそれほど強力ではない)機能に焦点を当てます イルミオ ASP。
Amazon シンプルストレージサービス (「S3」) は、インターネット上のどこからでもあらゆる種類のデータを保存および取得できる、使いやすく、費用対効果が高く、スケーラブルなデータストレージサービスです。さまざまな用途がありますが、主にバックアップとリカバリ、ディザスタリカバリ、データアーカイブ、クラウドストレージに使用されます。
通常、組織はインターネットでアクセス可能なファイルフォルダに似た S3 バケットを作成します。この S3 バケットには S3 アクセスコントロールポリシーを適用して、ある組織にデータを書き込み、他の組織には共有ストレージロケーションからデータを読み取ることを許可できます。S3 バケットは、ある組織が所有していても、別の組織が書き込み/読み取りを行うことができます。さらに、存続期間が長く、使用頻度の低いデータを安価に保存できます。
ウェブインターフェイスに加えて、S3 は他のウェブサービスと統合するための API も提供します。
ベンダーは S3 データを読み書きできるインテグレーションを作成しています。 イルミオセキュアクラウドは、他の SaaS ベンダーと同様に、Amazon S3 を利用して顧客にログを書き込む (配信する) ようにしています。顧客は S3 バケットを SIEM またはログ分析ツールに接続してこのデータを読み取り (アクセス) します。
通常、お客様は独自の S3 バケットを作成し、バケット名とアカウント ID を Illumio に提供します。お客様が簡単に設定できるように、CloudFormation テンプレートを含むナレッジベースの記事を公開しました。このテンプレートを AWS に読み込むことで、お客様は S3 バケットを作成し、必要な ID とアクセス管理 (IAM) ポリシーをいくつかの簡単な手順で適用できます。
あるいは、お客様はIllumioに自分に代わってS3バケットを作成してホストするように依頼し、自分の側からデータにアクセスすることもできます。(現在ご利用のお客様:「」を参照) このドキュメンテーション クラウドフォーメーションテンプレートとその他の詳細については、こちらを参照してください。)
S3 バケットが設定されると、Illumio の SaaS 運用チームは、提供されたアカウント ID とバケット名を設定して、ログの配信を有効にします。また、その S3 バケットには、さまざまなタイプのデータ用に 2 つのサブフォルダを作成します。ログはセットアップが成功してから 10 分以内にバッチ配信され、ログデータは Illumio によってバッチ処理されて 10 分ごとに書き込まれます。
Illumio Secure Cloudは、トラフィックフローの概要と監査イベントという2種類のログをAmazon S3経由で提供できます。トラフィックフローサマリーは、データセンター内のアプリケーション間の通信、つまり東西のトラフィックを示す記録です。監査イベントは、Illumio で行われたすべての変更の記録です。これらの監査イベントには、従来の「誰が、何を、いつ、どこで」というデータだけでなく、通知や実際のリソース変更も含まれます。
これらのログタイプは両方とも JSON 形式の構造化メッセージです。豊富なドキュメントが用意されています。 ここに。
SplunkやIBM QRadarなどのSIEMベンダーは、自社製品がS3が提供する汎用ストレージをシームレスに利用できるようにする組み込み統合を提供しています。
- Splunk は AWS 向けの Splunk アドオンを提供しています。
- QRadarは次のタイプのログソースタイプを提供します アマゾン AWS クラウドトレイルこれは、他のログソースにデータを渡すためのゲートウェイログソースとして使用できます。
間もなく「ほとんど知られていない機能」の別のエディションをお届けしますが、それまでの間、製品チームに次のメッセージをお送りください。 [email protected] 詳細については!