VPC フローログを使用したデータ収集の設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 仮想プライベートクラウド (VPC) のログを使用して収集されたデータに基づいて、サービスマッピング が検出を実行できるようにします。この方法は、Amazon Web サービス (AWS) を使用している組織に関連しています。

    始める前に

    次に移動して、AWS アカウントの認証情報がプラットフォームの認証情報モジュールで構成されていることを確認します。 サービスマッピング > 資格情報 > AWS 認証情報. AWS 資格情報の詳細については、「クラウド資格情報」を参照してください。

    必要なロール:admin または sm_admin

    このタスクについて

    ベースシステムのトラフィックベースの検出では、netstatss、および lsof コマンドの助けを借りて収集された TCP 関連のデータのみが使用されます。Netflow および VPC ログに基づく検出には、追加の設定が必要です。VPC フローログを使用するように サービスマッピング を設定することで、トラフィックベースの検出を強化できます。VPC フローログに基づく サービスマッピング の検出フローの詳細については、「VPC フローログを使用したデータ収集と検出」を参照してください。

    Amazon VPC は、Amazon Web Services を提供する Amazon Elastic Compute Cloud (EC2) インスタンスをホストします。VPC フローログは、VPC 内のネットワークインターフェイスに出入りする IP トラフィックに関するデータを収集します。

    MID サーバー をトリガーしてフローログからデータを収集し処理するように、ServiceNow コネクターを設定します。複数のフローロググループがある展開では、フローロググループごとに 1 つの MID サーバー で動作する専用コネクターを設定します。複数のフローロググループが同じ AWS 資格情報を使用することがあります。

    手順

    1. 公式の AWS ドキュメントの説明に従って、Amazon EC2 コンソールで VPC フローログを設定します。
    2. VPC フローログと連動するように サービスマッピング を設定します。
      1. 移動先 サービスマッピング > 管理 > フローコネクタ.
      2. [新規] をクリックします。
      3. [AWS VPC フローログ] をクリックします。
      4. [AWS VPC フローログ] ページで、次のようにコネクターパラメーターを設定します。
        フィールド 説明
        名前 コネクターのわかりやすい名前
        グループ名 Amazon EC2 インスタンスがログストリームを転送する中央フローロググループの名前
        MID Server AWS のフローロググループからデータを収集するために サービスマッピング が使用する MID サーバー
        AWS 資格情報 フローログを収集するアカウントに関連する AWS 資格情報を選択します。
      5. [送信] をクリックします。
    3. サービスマッピング が VPC フローログを使用してデータを収集することを確認します。
      1. [AWS VPC フローログ] フォームで、新しく設定したコネクターを選択し、[今すぐ実行] をクリックしてデータ収集フローを開始し、フロー接続 [sa_flow_connection] テーブルに入力します。
      2. 移動先 システム定義 > テーブル.
      3. フロー接続 [sa_flow_connection] テーブルをクリックします。
      4. [関連リンク] の下の [リストを表示] をクリックします。
      5. テーブルにデータが含まれていることを確認します。