Illumio ASPのあまり知られていない機能–Amazon S3バケットへのログエクスポート

このクイックシリーズでは、イルミオの製品管理チームが、あまり知られていない(しかしそれほど強力な)機能に焦点を当てます。 Illumio ASP.

Amazon Simple Storage Service (「S3」) は、インターネット上のどこからでもあらゆる種類のデータを保存および取得するために使用できる、使いやすく、コスト効率が高く、スケーラブルなデータストレージサービスです。用途はたくさんありますが、主にバックアップとリカバリ、災害復旧、データアーカイブ、クラウドストレージに使用されます。

通常、組織は、インターネットからアクセス可能なファイルフォルダに似た S3 バケットを作成します。この S3 バケットでは、S3 アクセス制御ポリシーを適用して、1 つの組織がデータを書き込んだり、他の組織が共有ストレージの場所からデータを読み取ったりできるようにすることができます。S3 バケットは、ある組織が所有し、別の組織が書き込み/読み取りすることができます。さらに、有効期間が長く、使用頻度の低いデータを安価に保存できます。

S3 は、Web インターフェイスに加えて、他の Web サービスと統合するための API も提供します。

ベンダーは、S3 データの読み取り/書き込みが可能な統合を作成します。Illumio CloudSecureは、他のSaaSベンダーと同様に、Amazon S3を活用して顧客にログを書き込み(配信)します。お客様は、S3 バケットを SIEM またはログ分析ツールに接続することで、このデータを読み取り (アクセス) します。

通常、顧客は独自のS3バケットを作成し、バケット名とアカウントIDをイルミオに提供します。お客様がこれを設定しやすくするために、CloudFormation テンプレートを含むナレッジベースの記事を公開しました。このテンプレートを AWS にロードすることで、お客様は S3 バケットを作成し、いくつかの簡単な手順で必要な Identity and Access Management (IAM) ポリシーを適用できます。

あるいは、顧客はIllumioにS3バケットを作成してホストし、顧客側からデータにアクセスするように依頼することもできます。(現在のお客様: CloudFormation テンプレートと詳細については 、このドキュメント を参照してください。

S3バケットが設定されると、イルミオのSaaS運用チームは、ログの配信を可能にするために、提供されたアカウントIDとバケット名を設定します。また、その S3 バケットに、さまざまな種類のデータ用にいくつかのサブフォルダーを作成します。ログはセットアップが成功してから10分以内にバッチ配信され、ログデータはイルミオによってバッチ処理され、10分ごとに書き込まれます。

Illumio Secure Cloudは、Amazon S3を介してトラフィックフローの概要と監査イベントの2種類のログを提供できます。トラフィックフローの概要は、データセンター内のアプリケーション間の通信、つまり東西のトラフィックを示すレコードです。監査イベントは、イルミオで行われたすべての変更の記録です。これらの監査イベントには、従来の誰が/何を/いつ/どこで行うデータだけでなく、通知や実際のリソース変更も含まれます。

これらのログタイプはどちらも JSON 形式の構造化メッセージです。広範なドキュメントは 、こちらから入手できます。

Splunk や IBM QRadar などの SIEM ベンダーは、自社製品が S3 によって提供される汎用ストレージをシームレスに利用できるようにする事前構築された統合を提供しています。

• Splunkは、AWS用のSplunkアドオンを提供しています。
• QRadar は、他のログ・ソースにデータを渡すためのゲートウェイ・ログ・ソースとして使用できる Amazon AWS CloudTrail のログ・ソース・タイプを提供します。

「あまり知られていない機能」の別のエディションを間もなくリリースしますが、それまでの間、製品チームにメッセージを送ってください [メール保護] 詳細については!