CloudTrailを使用してAWS Control Tower監査アカウントを追加する

ビュー:

AWS CloudTrail と Control Tower が設定された AWS 監査アカウントを追加して接続し、Trend Vision One がマルチアカウント AWS 環境のセキュリティを提供できるようにします。

AWSログアーカイブアカウントからログを監視および収集するために監査アカウントを使用する場合、監査アカウントをCloud Accountsアプリに追加し、XDR for Cloud - AWS CloudTrail機能を有効にして、Trend Vision Oneがクラウドサービスにアクセスして複数のアカウントにわたるクラウドアセットのセキュリティと可視性を提供できるようにします。一部のクラウドアカウント機能は、AWSリージョンでのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。

以下の手順では、AWS監査アカウントにS3バケットを設定して、AWSログアーカイブアカウントから複製されたControl Towerログを受信する方法と、AWS監査アカウントにCloud Accountsスタックをデプロイする方法について説明します。

重要

Cloud Accounts アプリは現在、CloudFormation スタックテンプレートを使用して監査アカウントを接続することのみをサポートしています。

手順は2024年7月時点のAWSコンソールに有効です。

Control Tower を有効にし、AWS Log Archive と AWS Audit アカウントが設定されていることを確認してから、これらの手順を使用して Trend Vision One に接続し、XDR for Cloud - AWS CloudTrail を有効にしてください。

手順

始める前に、Trend Vision One コンソール、AWSログアーカイブアカウント、およびAWS監査アカウントにサインインしてください。

ヒント

最良の結果を得るために、同じブラウザーセッションでTrend Vision OneとAWS監査アカウントにサインインしてください。別のブラウザーを使用してAWSログアーカイブアカウントにアクセスしてください。

AWS監査アカウントで、ログアーカイブアカウントのControl Towerから複製されたデータを収集するためのS3バケットを作成します。

[Amazon S3] → [Buckets] に移動します。
[Create bucket]をクリックします。

[Create bucket] 画面が表示されます。
[Bucket type] で [General purpose] を選択します。

バケットに一意の名前を指定してください。

重要

監査アカウントでS3バケットを命名する際に、プレフィックス"aws-controltower"を使用しないでください。これにより、AWS Control Towerによって課される制限のため、バケットの編集や削除ができなくなる可能性があります。

[Bucket Versioning] から [有効化] を選択します。
他のすべての設定をデフォルトのままにして、[Create bucket]をクリックします。

S3バケットが作成されました。次の手順では、このトピックではこのS3バケットを「監査バケット」と呼びます。

監査バケットのためにAmazon EventBridgeを設定します。
1. [Amazon S3] → [Buckets] に移動します。
2. 監査バケットを見つけて、バケット名をクリックして[Bucket details]画面を開きます。
3. [プロパティ] → [Amazon EventBridge] に移動します。
4. [編集] をクリックします。
5. [Send notifications to Amazon EventBridge for all events in this bucket] で [オン] を選択します。
6. [Save changes] をクリックします。

AWSログアーカイブアカウントで、Control Towerバケットのレプリケーションルールを作成します。

AWSログアーカイブアカウントにサインオンし、[Amazon S3] → [Buckets]に移動します。
監視したいControl Towerバケットを見つけて、名前をクリックします。

ヒント

リストをフィルタリングしてバケットをより簡単に見つけるために、プレフィックス aws-cloudtrail を入力してください。
[Bucket details] 画面で、[管理] → [Replication rules] に移動します。
[Create replication rule] をクリックします。
ルールの名前を指定します。
ステータスが[有効]に設定されていることを確認してください。
[Source bucket] セクションの下で、ルールの範囲を選択します。
- 特定のデータのみをレプリケートしたい場合は、[Limit the scope of this rule using one or more filters] を選択します。このオプションを選択すると、レプリケートするデータのフィルターを定義する必要があります。
- すべてのデータを複製するには、[Apply to all objects in the bucket] を選択します。トレンドマイクロは、クラウド環境の可視性を最大化するためにこの構成を使用することを推奨します。
[送信先] セクションの [Specify a bucket in another account] を選択します。
[アカウントID]には、AWS監査アカウントのアカウントIDを貼り付けてください。
[Bucket name] の監査バケットの名前を貼り付けてください。
[Change object ownership to destination bucket owner] を選択します。
[IAM role] の下で、役割は自動的に選択されるべきです。

IAM ロールが利用できない場合は、新しい IAM ロールを作成してください。
IAM ロールをクリックして、新しいタブで IAM ロールの詳細を開きます。
[権限] に移動して、[編集] をクリックします。

次のコードが含まれているか、権限を確認してください。含まれていない場合は、次のコードをコピーして貼り付けてください

{
			"Action": [
				"s3:ReplicateObject",
				"s3:ReplicateDelete",
				"s3:ReplicateTags",
				"s3:ObjectOwnerOverrideToBucketOwner"
			],
			"Effect": "Allow",
			"Resource": [
				"THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT/*",
				"THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
			]
		}

次のパラメータをResource属性に置き換えてください:

THE_ARN_OF_S3_BUCKET_IN_LOG_ARCHIVE_ACCOUNT: 複製したいControl TowerバケットのARN。
THE_ARN_OF_AUDIT_BUCKET_IN_AUDIT_ACCOUNT: 監査バケットのARN。

重要

Resource の両方の ARN 値の末尾に /* を含める必要があります。たとえば、監査バケットの ARN が aws:arn::12345:audit.bucket の場合、入力する値は "aws:arn::12345:audit.bucket/*" になります。

[次へ] をクリックし、[Save changes] をクリックします。
タブに戻ってレプリケーションルールを構成してください。
他のすべての設定をデフォルトのままにして、[保存]をクリックします。
プロンプトが表示されたら、既存のオブジェクトを複製するかどうかを選択し、[送信]をクリックします。

監査バケットポリシーを構成します。
1. AWS 監査アカウントで、[Amazon S3] → [Buckets] の順に選択します。
2. 監査バケットを見つけて、名前をクリックして[Bucket details]画面にアクセスします。
3. [権限] → [Bucket policy] に移動します。
4. [編集] をクリックします。
5. 以下のポリシーをコピーして貼り付けてください。
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AUDIT_BUCKET_NAME",
            "Effect": "Allow",
            "Principal": {
                "AWS": "ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete",
                "s3:ObjectOwnerOverrideToBucketOwner",
                "s3:ReplicateTags"
            ],
            "Resource": [
                "ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT/*"
            ]
        }
    ]
} 
```
  以下のパラメータを置き換えてください:
  - AUDIT_BUCKET_NAME: 監査バケットの名前。
  - ARN_OF_CONTROLTOWER_BUCKET_REPLICATION_IAM_ROLE: AWSログアーカイブアカウントのControl Towerバケットに作成したレプリケーションルールに割り当てられたIAMロールのARN。
  - ARN_OF_THE_AUDIT_BUCKET_IN_AUDIT_ACCOUNT: 監査バケットのARN。ARNの末尾に/*を含める必要があります。
6. [Save changes] をクリックします。
AWS監査アカウントでAmazon SNSトピックを作成します。
1. [Amazon SNS] → [Topics] に移動します。
2. [Create topic] をクリックします。
3. [Standard] を選択します。
4. このトピックの新しい名前を入力します。
5. 残りの設定はデフォルトのままにして、[Create topic]をクリックします。
AWS監査アカウントにEventBridgeを作成します。
1. [Amazon EventBridge] → [Buses] → [ Rules] に移動します。
2. [ルールを作成] をクリックします。
3. ルールの名前を入力します。
4. 残りの設定はデフォルトのままにして、[次へ]をクリックします。
5. [Creation method] から [Use pattern form] を選択します。
6. [Event pattern] セクションで、[イベントソース] に対して、[AWS services] を選択します。
7. [AWS service] で [Simple Storage Service (S3)] を選択します。
8. [イベントの種類] で [Amazon S3 Event Notification] を選択します。
9. [Event type specification 1] の場合は、[Specific event(s)] を選択し、次に [Object Created] を選択します。
10. [Event type specification 2] で [Specify bucket(s) by name] を選択します。
11. 監査バケットの名前を[Specify bucket(s) by name]フィールドに貼り付けてください。
12. [次へ] をクリックします。
13. [Target 1] については、ターゲットタイプとして [AWS service] を選択してください。
14. [Select a target] から [SNS topic] を選択します。
15. [Topic] の下で、作成したSNSトピックを選択します。
16. [次へ] をクリックし、もう一度 [次へ] をクリックします。
17. [Review and create] 画面で、[ルールを作成] をクリックします。
Trend Vision Oneコンソールで、[Cloud Security] → Cloud Accounts → [AWS]に移動します。
[アカウントを追加]をクリックします。

[Add AWS Account] ウィンドウが表示されます。
デプロイタイプを指定してください。
1. [Deployment Method] を選択し、[CloudFormation] を選択します。
2. アカウントタイプには、[Single AWS Account]を選択してください。
3. [次へ] をクリックします。

アカウントの一般情報を指定します。

Cloud Accountsアプリに表示する [アカウント名] を指定します。
[説明]をCloud Accountsに表示するために追加します。

CloudFormationテンプレートをデプロイするAWSリージョンを選択します。

注意

初期設定のリージョンは、 Trend Vision One リージョンに基づいています。

一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項。

Server & Workload Protection Managerインスタンスが複数ある場合は、接続されたアカウントに関連付けるインスタンスを選択します。
注意

Server & Workload Protection Managerインスタンスが1つしかない場合、アカウントはそのインスタンスに自動的に関連付けられます。
Trend Vision Oneによってデプロイされたリソースにカスタムタグを追加するには、[Resource tagging]を選択し、キーと値のペアを指定します。
[Create a new tag]をクリックして、最大3つのタグを追加します。
注意

キーは最大128文字までで、awsで始めることはできません。

値は最大256文字までです。
[次へ] をクリックします。

監査アカウントのために[機能と権限]を構成します。
1. [AWS CloudTrailのクラウド検出]を有効にする。
2. [AWS CloudTrailのクラウド検出] を展開して、[Control Tower deployment] を有効にします。
3. [次へ] をクリックします。
AWSコンソールでCloudFormationテンプレートを起動します。
1. 起動前にスタックテンプレートを確認するには、 [テンプレートをダウンロードして確認]をクリックします。
2. [スタックを起動]をクリックします。
お客様のAWS監査アカウントは、[CloudFormation]サービスの[Quick create stack]画面に開きます。

[Parameters]までスクロールして、[These are the parameters required to enable service cloud audit log monitoring control tower]とラベル付けされたセクションを見つけてください。

次のパラメータの値を入力します

[CloudAuditLogMonitoringCloudTrailArn]: aws-controltower-BaselineCloudTrail の ARN。
[CloudAuditLogMonitoringCloudTrailS3Arn]: 監査バケットのARN。
[CloudAuditLogMonitoringCloudTrailSNSTopicArn]: AWS監査アカウントで作成したSNSトピックのARN。

重要

監視対象のCloudTrailとCloudTrail SNSは、同じアカウントにあり、テンプレートのデプロイ用に選択したのと同じリージョンに配置されている必要があります。
[パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。

[機能] セクションで、次の確認応答を選択します。
- [AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
- [AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
[スタックの作成]をクリックします。

新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
Trend Vision One コンソールで、 [終了]をクリックします。

CloudFormation テンプレートのデプロイが正常に完了すると、アカウントが Cloud Accounts に表示されます。テーブルを更新するには画面をリフレッシュしてください。