VPC フローログを使用したデータ収集と検出
サービスマッピング は、VPC フローログを使用して収集されたデータに基づいて検出を実行できます。Amazon VPC は、Amazon Web Services を提供する Amazon Elastic Compute Cloud (EC2) インスタンスをホストします。VPC フローログは、VPC 内のネットワークインターフェイスに出入りする IP トラフィックに関するデータを収集します。
ベースシステムのトラフィックベースの検出では、netstat、ss、および lsof コマンドの助けを借りて収集された TCP 関連のデータのみが使用されます。Netflow および VPC ログに基づく検出には、追加の設定が必要です。VPC フローログを使用するように サービスマッピング を設定することで、トラフィックベースの検出を強化できます。
VPC フローログに基づく サービスマッピング の検出には次のフローがあります。
- Amazon EC2 インスタンスは、個々のログをログストリームに収集し、それらを中央フローロググループに転送します。
図 : 1. Amazon EC2 インスタンスが個々のログを収集
- ServiceNow コネクターは MID サーバー をトリガーしてフローログからデータを収集し処理します。
- MID サーバー は処理済みの情報を ECC キューに格納します。
図 : 2. MID サーバー はフローログからデータを収集して ECC キューに格納する
- センサーが ECC キューからプロセスデータを取得し、フロー接続 [sa_flow_connection] テーブルに書き込みます。
サービスマッピング では、ECC キューをチェックして検出された CI に関する情報を受け取るたびに、これらのテーブルで CI に関連するアウトバウンド接続のデータ (cmdb_tcp および sa_flow_connection テーブル) をチェックします。これらの 2 つのテーブルに、パターンで検出できなかった固有のデータが含まれている場合、サービスマッピング は CI 接続に関する情報を拡充させ、それらをマップに追加します。
図 : 3. 収集されたデータは、サービスマッピング によるデータの収集元になる sa_flow_connection テーブルに書き込まれる
複数のフローロググループがある展開では、フローロググループごとに 1 つの MID サーバー で動作する専用コネクターを設定します。複数のフローロググループが同じ AWS 資格情報を使用することがあります。