20240717_AWS10分LT会 - vol.4 AWSでSplunkを動かしてみた

2024年7⽉17⽇ AWS10分LT会 - vol.4 LT② AWSでSplunkを動かしてみた

2 • 野崎⾼弘（のざきたかひろ） • 今まではインフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 •
趣味︓資格取得、⽝の散歩、ドラマ鑑賞、巨⼈ファン • 資格︓現在、AWS・GCP全冠 • 2023 Japan AWS All Certifications Engineers 2024 Japan AWS All Certifications Engineers 2024 Japan AWS Top Engineers(Networking) 3 ⾃⼰紹介

本LTの⽬的 3 AWSのVPCフローログを集中監視し、可視化することで、ネットワークトラフィックの状況を把握し、セキュリティリスクを検知したいとします。この⽬的を達成するため、SIEMとしてSplunkを使⽤します。AWS上のログデータをSplunkに取り込み、 Splunkの監視・分析機能を活⽤します。具体的には、Splunk側でAWS側のVPCフローログを受信できるよう設定を⾏います。本LTでは、主にそのSplunk側の設定で必要な部分に焦点を当て、AWSでのSplunk活⽤術を紹介します。

全体像 4

前提条件 5 • Splunk on EC2の構築（AWSマーケットプレイスAMI︓Splunk Enterprise バージョン 9.2.2） •
Splunk Add-on for AWS（バージョン 7.6.0）のインストールが完了している • Splunk on EC2のロールには、あらかじめ以下を許可したAmazonEC2RoleforSSMポリシーと、 AmazonSQSFullAccessポリシーを付与 • S3バケット（nozaki-bucket2）は作成済み EC2 制限あり: リストすべてのリソース EC2 Messages フルアクセスすべてのリソース S3 制限あり: リスト, 読み取り, 書き込みすべてのリソース SSM Messages フルアクセスすべてのリソース Systems Manager 制限あり: リスト, 読み取り, 書き込みすべてのリソース

⼿順概要 6 1. VPCフローログの設定 2. SQSの作成 3. SNSの作成 4. S3の設定
5. Splunk側での検証（demo）

VPCフローログの設定 7 nozaki-vpcというVPCで、このような設定でフローログを作成します。発⾏先は s3://nozaki-bucket2/vpcflowlog/ です。（ARNで指定）

SQSの作成 8 1. 先にSQS-DLQを作成しておく。キュータイプ︓標準にします。可視性タイムアウト︓5分にしておきます（それ以外はデフォルトでOK）

SQSの作成 9 アクセスポリシー︓アドバンストにして、以下内容を⼊れておく { "Version": "2012-10-17", "Id": "__default_policy_ID", "Statement": [
{ "Sid": "SQS_DLQ_PUSH", "Effect": "Allow", "Principal": { "AWS": ”123456789012" }, "Action": "SQS:*", "Resource": "arn:aws:sqs:ap-northeast-1:123456789012:nozaki-vpcflowlog-dlq”, "Condition": { "ArnLike": { "aws:SourceArn": "*" } } } ] }

SQSの作成 10 2. 通常のSQSキューを作成キュータイプ︓標準可視性タイムアウト︓5分（それ以外はデフォルトで OK）

SQSの作成 11 サーバー側の暗号化︓検証段階では無効にしておきます。アクセスポリシー︓アドバンストにして、SNSがSQSにSendMessageできる権限（”SNS_SQS_PUSH”）と、 "Sid": "SNS_SQS_PUSH", "Effect": "Allow", "Principal":
{"AWS": ”123456789012"}, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:ap-northeast-1:123456789012:nozaki-vpcflowlog-sqs", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sns:ap-northeast-1:123456789012:nozaki- vpcflowlog-topic" }

SQSの作成 12 Splunk on EC2等がSQSを確認できる権限（”Sid”: “SQS_PULL”）を⼊れておきます。 "Sid": "SQS_PULL", "Effect": "Allow",
"Principal": {"AWS": "123456789012"}, "Action": "sqs:*", "Resource": "arn:aws:sqs:ap-northeast-1:123456789012:nozaki-vpcflowlog-sqs"

SQSの作成 13 デッドレターキュー︓ 有効にして、1.で作成した DLQを指定します。

SNSの作成 14 • SNSトピックの作成

SNSの作成 15 • アクセスポリシー︓アドバンスドにして、S3がSNSにPublishできる権限（”Sid”: “S3_to_SNS_Publish”） "Sid": "S3_to_SNS_Publish", "Effect": "Allow", "Principal":
{ "AWS": "*" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:ap-northeast-1:123456789012:nozaki-vpcflowlog-topic", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:s3:::nozaki-bucket2", "arn:aws:s3:::nozaki-bucket2/*"

SNSの作成 16 SQSがこのSNSトピックをSubscribeできる権限（”Sid”: “SQS_Subscribe”）を⼊れておきます。 "Sid": "SQS_Subscribe", "Effect": "Allow", "Principal": {
"AWS": "*" }, "Action": "SNS:Subscribe", "Resource": "arn:aws:sns:ap-northeast-1:123456789012:nozaki-vpcflowlog-topic", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sqs:ap-northeast-1:123456789012:nozaki-vpcflowlog- sqs" } }

SNSの作成 17 • サブスクリプションの作成トピック︓先ほど作成したものを選択プロトコル︓SQS エンドポイント︓先ほど作成したSQSキューのARNを指定 rawメッセージ配信の有効化︓
チェックは外したままにしておく

S3の設定 18 • バケットポリシーの修正 VPCフローログを設定すると、にS3のバケットポリシーが勝⼿に書き換わってしまいます。このため、Splunk on EC2のロールがS3にアクセスできるよう、最下部に「”Sid”: “EC2PULL”」を追加しておきます。
・・・ { "Sid": "EC2PULL", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/SSMAgentRoleforEC2" }, "Action": "s3:*", "Resource": "arn:aws:s3:::nozaki-bucket2/vpc-flowlog/*" }

S3の設定 19 • イベント通知設定（SNSへの通知) 最後に、S3に新規書き込みがあった際のイベント通知設定を⾏います。プレフィックス︓（始まり）記載なくてもいいですが、「AWSLogs/123456789012/vpcflowlogs/ap- northeast-1/」は不変だったので記載しておきました。サフィックス︓（終わり）拡張⼦が.gzのファイルがアップロードされるので、拡張⼦だけ記載しておきました。なくてもいいです。イベントタイプ︓念のため「すべてのオブジェクト作成イベント」s3:ObjectCreated:*にチェックを⼊れて
おきます送信先︓先ほど作成したSNSトピック「nozaki-vpcflowlog-topic」を指定して通知します

Splunk側での設定 20 （5分ほどDemo）

感想 21 Splunkの知識はそんなになくても構築できました。 AWSネイティブ⼀択でいくのであれば、SIEMはOpenSearchでいくのがスムーズですが、Splunkを使いたいケースもあるかと思います。その場合、Splunk側ではAWS連携⽤としてSplunk Add-on for AWSを使い、⼊⼒⽅式もSQS Based
S3というSNS⇨SQSからの通知によりS3から取得しに⾏く⽅式です。これが結構曲者で、S3 File DecoderやSource Typeを正しいものを選ばないと、Splunk側で正しく取り込めず、ログが表⽰されません。特にSQS Based S3だとどれを選べばいいのか、デフォルトのままでいいのか、情報がネットにもあまりありません。なのでSplunk Add-on for AWSを使う場合は、この辺りに注意してください。

拙いところがあったかと思いますが、ご清聴ありがとうございました。m(_ _)m

20240717_AWS10分LT会 - vol.4 AWSでSplunkを動かしてみた

20240717_AWS10分LT会 - vol.4 AWSでSplunkを動かしてみた

野崎高弘

Other Decks in Business

Featured

Transcript

2024年7⽉17⽇ AWS10分LT会 - vol.4 LT② AWSでSplunkを動かしてみた

2 • 野崎⾼弘（のざきたかひろ） • 今まではインフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 •

全体像 4

前提条件 5 • Splunk on EC2の構築（AWSマーケットプレイスAMI︓Splunk Enterprise バージョン 9.2.2） •

⼿順概要 6 1. VPCフローログの設定 2. SQSの作成 3. SNSの作成 4. S3の設定

VPCフローログの設定 7 nozaki-vpcというVPCで、このような設定でフローログを作成します。発⾏先は s3://nozaki-bucket2/vpcflowlog/ です。（ARNで指定）

SQSの作成 8 1. 先にSQS-DLQを作成しておく。キュータイプ︓標準にします。可視性タイムアウト︓5分にしておきます（それ以外はデフォルトでOK）

SQSの作成 9 アクセスポリシー︓アドバンストにして、以下内容を⼊れておく { "Version": "2012-10-17", "Id": "__default_policy_ID", "Statement": [

SQSの作成 10 2. 通常のSQSキューを作成キュータイプ︓標準可視性タイムアウト︓5分（それ以外はデフォルトで OK）

SQSの作成 11 サーバー側の暗号化︓検証段階では無効にしておきます。アクセスポリシー︓アドバンストにして、SNSがSQSにSendMessageできる権限（”SNS_SQS_PUSH”）と、 "Sid": "SNS_SQS_PUSH", "Effect": "Allow", "Principal":

SQSの作成 12 Splunk on EC2等がSQSを確認できる権限（”Sid”: “SQS_PULL”）を⼊れておきます。 "Sid": "SQS_PULL", "Effect": "Allow",

SQSの作成 13 デッドレターキュー︓ 有効にして、1.で作成した DLQを指定します。

SNSの作成 14 • SNSトピックの作成

SNSの作成 15 • アクセスポリシー︓アドバンスドにして、S3がSNSにPublishできる権限（”Sid”: “S3_to_SNS_Publish”） "Sid": "S3_to_SNS_Publish", "Effect": "Allow", "Principal":

SNSの作成 16 SQSがこのSNSトピックをSubscribeできる権限（”Sid”: “SQS_Subscribe”）を⼊れておきます。 "Sid": "SQS_Subscribe", "Effect": "Allow", "Principal": {

SNSの作成 17 • サブスクリプションの作成トピック︓先ほど作成したものを選択プロトコル︓SQS エンドポイント︓先ほど作成したSQSキューのARNを指定 rawメッセージ配信の有効化︓

Splunk側での設定 20 （5分ほどDemo）

拙いところがあったかと思いますが、ご清聴ありがとうございました。m(_ _)m