PARTNERS

Splunk、AWS Network Firewallのローンチパートナーに

AWSは、Amazon Virtual Private Cloud (VPC)に不可欠なネットワーク保護機能を簡単に導入できる新しいマネージド型のサービス、AWS Network Firewallを発表しました。Splunkは、ローンチパートナーとして、AWS Network Firewallとの統合機能をお客様に提供するためにAWSと緊密に連携してきました。私の尊敬する同僚、Anush Jayaramanと共同執筆するこのブログでは、まずAWS Network Firewallのデータフローアーキテクチャと、データを取り込むための選択肢について詳しく説明します。次に、CloudWatch経由で収集するAWS Network Firewallメトリクスの監視設定について触れます。そして最後に、この豊富なデータセットを正規化して活用するのに役立つSplunkのAWS Network Firewall Add-On for Splunkについて概説します。

データを取り込む

SplunkでAWSサービスのデータを扱う場合、まず例外なく、データフローの構築方法が複数あります。AWS Network Firewallの場合も複数の選択肢があります。以下は、AWS Network Firewallのデータを取り込む際の選択肢の概略図です。

データを取り込む図

  1. S3に直接ログを送信するようにAWS Network Firewallを設定してから、設定したS3バケットからデータを収集するようにSplunk Add-On for AWSを設定します。
  2. CloudWatch Logsにログを送信するようにAWS Network Firewallを設定します。CloudWatch Logsにログが収集されたら、2つの選択肢があります。
    1. Splunk Add-On for AWSを使用し、AWS Network FirewallのデータをフェッチするようにCloudWatch Logsの入力を設定します。または、
    2. Kinesis Data Firehoseを使用し、CloudWatch LogsグループからプルしたデータをSplunk HTTPイベントコレクター(HEC)エンドポイントに送信するように設定します。
  3. Firehoseに直接送信するようにAWS Network Firewallを設定し、そこからSplunk HECエンドポイントに送信します。  この方法を選ぶ場合は、Firehoseの設定で次のカスタムLambdaを使用してください。

 

import json
import base64
import copy

def lambda_handler(event, context):
    events=[]
    event_map={}
    for record in event['records']:
        payload = base64.b64decode(record['data'])
        json_obj = json.loads(payload)
        output_json_with_line_break = json_obj['message'] + "\n"
        encoded_bytes = base64.b64encode(bytearray(output_json_with_line_break, 'utf-8'))
        encoded_string = str(encoded_bytes, 'utf-8')
        event_map = copy.deepcopy(record)
        event_map['data'] = encoded_string
        event_map['result'] = 'Ok'
        events.append(event_map)

    return {'records': events}

AWS Network Firewallのメトリクス

AWS Network Firewallのリリースにより、CloudWatchのメトリクスに新しい名前空間が加わります。ファイアウォールのメトリクスデータには、この名前空間を使用してアクセスできます。Splunk Add-on for AWSにCloudWatchの新しいメトリクス名前空間を追加するプロセスに慣れていない方は、私が去年執筆したこちらのブログに目を通されることを強くお勧めします。このブログは、当時リリースされたばかりのAPIメトリクスについて書いたもので、プロセスの要点がわかります。

以下は、AWS Network Firewallのメトリクスにアクセスするために必要な詳細です。

名前空間

AWS/VPCFirewall 

ディメンション

AvailabilityZone、Engine、FirewallName

ディメンション値

[{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

メトリクスの設定を終えたら、いつもどおりにSplunkの数々の優れた機能を使用してシンプルなサーチを作成し、メトリクスを表示できます。

メトリクスの画面

Splunk Add-on for AWS Network Firewall 

Splunkは、お客様がデータから最大限の価値を引き出せるよう支援する取り組みの一環として、AWSの新サービスの発表に合わせ、Splunk Add-on for AWS Network Firewallをまもなくリリースします。このアドオンの最大の特長は、Splunkの複数のCIMモデルを使用してデータを正規化する機能があらかじめ設定されていることだと、筆者は考えています。この機能を使用すれば、業界をリードするSIEMであるSplunk Enterprise SecurityにAWS Network Firewallのデータを統合でき、Splunk Enterprise Securityの高度な機能を利用できます。またCIMモデルのほかに、アドオンにはAWS Network Firewallデータの可視化をすぐに始められるサンプルダッシュボードも用意されています。 

AWSによるAWS Network Firewallのリリースによって、ステートフルなネットワークファイアウォールサービスが登場します。お客様は、お客様が運用する一連のサービスへのトラフィックをVPCの境界でフィルタリングできるようになります。リリース日は、AWS最大のユーザーカンファレンスであるAWS re:Invent(今年は初めてバーチャルで開催)の数週間前です。Splunkは、re:Inventのプラチナスポンサーであり、AWS Security Jamを後援します。AWSのセキュリティソリューションやAWSとSplunkの戦略的提携について詳しく知ることができる絶好の機会です。re:Inventにご参加の折には、ぜひSplunkのバーチャルブースへお越しください。

このブログはこちらの英語ブログの翻訳、庄司 大助によるレビューです。

March 24, 2021
Bill Bartlett
Posted by

Bill Bartlett

TAGS
Partners
Show All Tags
Show Less Tags