翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Firewall Manager と Amazon Data Firehose を使用して Splunk に AWS WAF ログを送信する
*Michael Friedenthal、Aman Kaur Gandhi、JJ Johnson、Amazon Web Services*
## 概要
これまで、データを Splunk に移動する方法には、プッシュアーキテクチャとプルアーキテクチャの 2 つがありました。*プルアーキテクチャ*では再試行によるデータ配信が保証されますが、データをポーリングする専用のリソースが Splunk に必要になります。プルアーキテクチャはポーリングを行うため、通常はリアルタイムではありません。*プッシュアーキテクチャ*は、通常、レイテンシが低く、拡張性が高く、運用の複雑さとコストが削減されます。ただし、配信を保証することはできません。通常、エージェントが必要です。
Splunk と Amazon Data Firehose の統合により、HTTP イベントコレクター (HEC) を通じて Splunk にリアルタイムのストリーミングデータが配信されます。この統合には、プッシュアーキテクチャとプルアーキテクチャの両方のメリットがあります。再試行によるデータ配信が保証され、ほぼリアルタイムで、レイテンシーが低く、複雑性も低くなります。HEC は、HTTP または HTTPS 経由で Splunk にデータを迅速かつ効率的に直接送信します。HEC はトークンベースなので、アプリケーションやサポートファイルに認証情報をハードコーディングする必要はありません。
AWS Firewall Manager ポリシーでは、すべてのアカウントのすべての AWS WAF ウェブ ACL トラフィックのログ記録を設定でき、Firehose 配信ストリームを使用してそのログデータを Splunk に送信し、モニタリング、可視化、分析を行うことができます。ソリューションは次の利点があります。
+ すべてのアカウントの AWS WAF ウェブ ACL トラフィックの一元管理とログ記録
+ Splunk と 1 つの との統合 AWS アカウント
+ スケーラビリティ
+ ログデータをほぼリアルタイムで配信
+ サーバーレスソリューションの使用によるコストの最適化により、未使用のリソースにお金を払う必要がなくなります。
## 前提条件と制限事項
**前提条件**
+ の組織の一部 AWS アカウント であるアクティブな AWS Organizations。
+ Firehose を使用してログ記録を有効化するには、次の許可が付与されている必要があります。
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
+ AWS WAF とそのウェブ ACLs を設定する必要があります。手順については、[「 の開始方法 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)」を参照してください。
+ AWS Firewall Manager を設定する必要があります。手順については、「[AWS Firewall Manager prerequisites](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)」を参照してください。
+ の Firewall Manager セキュリティポリシーを設定 AWS WAF する必要があります。手順については、[「 AWS Firewall ManagerAWS WAF ポリシーの開始方法](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html)」を参照してください。
+ Splunk には、Firehose からアクセスできるパブリック HTTP エンドポイントをセットアップする必要があります。
**制限事項**
+ は、 の 1 つの組織で管理 AWS アカウント する必要があります AWS Organizations。
+ ウェブ ACL は、配信ストリームと同じリージョンである必要があります。Amazon CloudFront のログをキャプチャする場合、米国東部 (バージニア北部) リージョン `us-east-1` に Firehose 配信ストリームを作成します。
+ Firehose 用の Splunk アドオンは、有料の Splunk クラウドデプロイ、分散型 Splunk エンタープライズデプロイ、および単一インスタンスの Splunk エンタープライズデプロイで利用できます。このアドオンは、Splunk Cloud の無料トライアルデプロイではサポートされていません。
## アーキテクチャ
**ターゲットテクノロジースタック**
+ Firewall Manager
+ Firehose
+ Amazon Simple Storage Service (Amazon S3)
+ AWS WAF
+ Splunk
**ターゲットアーキテクチャ**
次の図は、Firewall Manager を使用してすべての AWS WAF データを一元的にログに記録し、Firehose 経由で Splunk に送信する方法を示しています。
![\[Amazon Data Firehose を介して AWS WAF ログデータを Splunk に送信する方法を示すアーキテクチャ図。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/3dfeaae0-985a-42b8-91c4-ece081f0b51b/images/669169b1-caa4-419b-9988-19806ded54eb.png)
1. AWS WAF ウェブ ACLsファイアウォールログデータを Firewall Manager に送信します。
1. Firewall Manager は Firehose にログデータを送信します。
1. Firehose 配信ストリームは、ログデータを Splunk と S3 バケットに転送します。S3 バケットは、Firehose 配信ストリームでエラーが発生した場合のバックアップとして機能します。
**自動化とスケール**
このソリューションは、組織内のすべての AWS WAF ウェブ ALCs をスケーリングし、それに対応するように設計されています。すべてのウェブ ACL が同じ Firehose インスタンスを使用するように設定できます。ただし、希望する場合は、複数の Firehose インスタンスをセットアップして使用できます。
## ツール
**AWS のサービス**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) は、 のアカウントとアプリケーション全体でファイアウォールルールを一元的に設定および管理するためのセキュリティ管理サービスです AWS Organizations。
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) は AWS のサービス、Splunk などのサポートされているサードパーティーサービスプロバイダーが所有する他の HTTP エンドポイント、カスタム HTTP エンドポイント、HTTP エンドポイントにリアルタイムの[ストリーミングデータを](https://aws.amazon.com/streaming-data/)配信するのに役立ちます。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) は、保護されたウェブアプリケーションリソースに転送される HTTP と HTTPS リクエストをモニタリングできるウェブアプリケーションファイアウォールです。
その他のツール
+ 「[Splunk](https://docs.splunk.com/Documentation)」 はログデータのモニタリング、視覚化、分析に役立ちます。
## エピック
### Splunk の設定
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| Splunk App for をインストールします AWS。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | セキュリティ管理者、Splunk 管理者 |
| のアドオンをインストールします AWS WAF。 | 前の手順を繰り返して、Splunk 用 **AWS ウェブアプリケーションファイアウォールアドオン**をインストールします。 | セキュリティ管理者、Splunk 管理者 |
| Firehose 用の Splunk アドオンをインストールして設定します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | セキュリティ管理者、Splunk 管理者 |
### Firehose 配信ストリームを作成する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| Splunk の宛先へのアクセスを Firehose に付与します。 | Firehose が Splunk の宛先にアクセスし、ログデータを S3 バケットにバックアップすることを許可するアクセスポリシーを設定します。詳細については、「[Grant Firehose Access to a Splunk Destination](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-splunk)」を参照してください。 | セキュリティ管理者 |
| Firehose 配信ストリームを作成します。 | ウェブ ACLs を管理するのと同じアカウントで AWS WAF、Firehose で配信ストリームを作成します。配信ストリームを作成するときは、IAM ロールが必要です。Firehose は、IAM ロールを引き受け、指定された S3 バケットへのアクセス権を取得します。手順については、「[配信ストリームの作成](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)」 を参照してください。次の点に注意してください。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html)HTTP イベントコレクターで設定したトークンごとに、このプロセスを繰り返します。 | セキュリティ管理者 |
| 配信ストリームをテストします。 | 配信ストリームをテストして、適切に設定されていることを確認します。手順については、Firehose ドキュメントの「[Test using Splunk as the destination](https://docs.aws.amazon.com/firehose/latest/dev/test-drive-firehose.html#test-drive-destination-splunk)」を参照してください。 | セキュリティ管理者 |
### データをログに記録するようにFirewall Manager を設定
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| Firewall Manager のポリシーを設定します。 | Firewall Manager ポリシーは、ロギングを有効にし、ログを正しい Firehose 配信ストリームに転送するように設定する必要があります。詳細と手順については、「 [AWS WAF ポリシーのログ記録の設定](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config)」を参照してください。 | セキュリティ管理者 |
## 関連リソース
**AWS リソース**
+ [ウェブ ACL トラフィックのログ記録](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) (AWS WAF ドキュメント)
+ [AWS WAF ポリシーのログ記録の設定](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config) (AWS WAF ドキュメント)
+ [Tutorial: Sending VPC Flow Logs to Splunk Using Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/vpc-splunk-tutorial.html) (Amazon Kinesis Data Firehose ドキュメント)
+ [Amazon Data Firehose を使用して、VPC フローログを Splunk にプッシュするにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/push-flow-logs-splunk-firehose/) (AWS ナレッジセンター)
+ [Amazon Data Firehose を使用した Splunk へのデータ取り込み](https://aws.amazon.com/blogs/big-data/power-data-ingestion-into-splunk-using-amazon-kinesis-data-firehose/)の強化 (AWS ブログ記事)
Splunk ドキュメント
+ [Splunk Add-on for Amazon Data Firehose](https://docs.splunk.com/Documentation/AddOns/released/Firehose/About)