AWS S3バケット

Keeper SIEMからAmazon S3バケットのエンドポイントへのプッシュを統合

概要

Keeperでは、Amazon S3バケットへのイベントストリームがサポートされています。以下は、セットアップ手順となります。

S3バケットの構成

AWSでS3バケットを作成し、すべての権限がブロックされていることを確かにします。

コンソールアクセスなしでユーザーアカウントを作成し、以下のようにバケット内へのファイルの配置のみ可能な基本的なロールポリシーを割り当てます。

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid":"VisualEditor0",
            "Effect":"Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::name_of_bucket/*"
            ]
        }
    ]
}

3.　アクセスキーとシークレットキーを生成し、バケット名と一緒にそれらを管理コンソールに入力します。ファイルのアップロードには、さまざまなタイムフレームを選択できます。以下のファイル形式を選択することもできます。

JSON
Syslog
CSV

バケット名には、以下のようにリージョンを含む完全なARNを指定します。

arn:aws:s3:us-west-2::my-keeper-events

期間中にイベントが発生した場合のみファイルがポストされます。以下の例では、システムにアクティビティがある場合、1時間ごとにjsonファイルがポストされています。

タイムフレームを「日」に設定した場合、すべてのイベントはその日が終了 (UTC時間を使用) するまで蓄積されてから、その日のすべてのイベントを含む新しいファイルがS3バケットに追加されます。

ログファイルの例

Syslogファイル

<165>1 2023-10-30T02:18:43.776Z keepersecurity.jp keeper - - - {"audit_event":"device_user_approval_requested","device_name":"iPhone","remote_address":"12.34.56.78","category":"security","client_version":"iPhone.16.9.4","username":"[email protected]","enterprise_id":50,"client_version_new":true}^M

<165>1 2023-10-30T02:19:19.587Z keepersecurity.jp keeper - - - {"audit_event":"device_approved","device_name":"iPhone","remote_address":"12.34.56.78","category":"security","client_version":"iPhone.16.9.4","username":"[email protected]","enterprise_id":50}^M

<165>1 2023-10-30T02:19:51.774Z keepersecurity.jp keeper - - - {"audit_event":"login","channel":"PASS","remote_address":"12.34.56.78","category":"login","client_version":"iPhone.16.9.4","username":"[email protected]","enterprise_id":50}^M

JSONファイル

[{"audit_event":"login","remote_address":"12.34.56.78","client_version":"iPhone.16.9.3","timestamp":"2023-09-20T21:33:17.545Z","username":"[email protected]","enterprise_id":67241},{"audit_event":"login","remote_address":"12.34.56.78","client_version":"iPhone.16.9.3","timestamp":"2023-09-20T21:33:27.200Z","username":"[email protected]","enterprise_id":67241},{"audit_event":"login","remote_address":"12.34.56.78","client_version":"iPhone.16.9.3","timestamp":"2023-09-20T21:33:22.740Z","username":"[email protected]","enterprise_id":67241},{"record_uid":"ac3QeHmeGz6Jyb7wnuHnfQ","audit_event":"open_record","remote_address":"12.34.56.78","client_version":"iPhone.16.9.3","timestamp":"2023-09-20T21:33:56.634Z","username":"[email protected]","enterprise_id":67241},{"record_uid":"ac3QeHmeGz6Jyb7wnuHnfQ","audit_event":"fast_fill","remote_address":"12.34.56.78","client_version":"iPhone.16.9.3","timestamp":"2023-09-20T21:33:56.634Z","username":"[email protected]","enterprise_id":67241}]

CSVファイル

audit_event,name,remote_address,category,client_version,timestamp,username,enterprise_id
audit_sync_setup,s3,12.34.56.78,policy,EMConsole.16.15.3,1698759022585,[email protected],50
role_created,,12.34.56.78,policy,EMConsole.16.15.3,1698759049640,[email protected],50
role_enforcement_changed,,12.34.56.78,policy,EMConsole.16.15.3,1698759049876,[email protected],50
added_to_role,,12.34.56.78,security,EMConsole.16.15.3,1698759136968,[email protected],50
added_to_role,,12.34.56.78,security,EMConsole.16.15.3,1698759136979,[email protected],50
lock_user,,12.34.56.78,security,EMConsole.16.15.3,1698759169004,[email protected],50
added_to_role,,12.34.56.78,security,EMConsole.16.15.3,1698759134936,[email protected],50

前へイベント詳細次へMicrosoft Sentinel

最終更新 1 年前