メインコンテンツまでスキップ
Sumo Logic Japanese

AWS CloudTrail アプリケーションのインストールとダッシュボードの表示

Sumo Logic アプリケーションのインストール

これで AWS CloudTrail の収集のセットアップが完了したため、CloudTrail 用 Sumo Logic アプリケーションをインストールして、事前設定済みの検索やダッシュボードを活用でき、環境が視覚化されます。

アプリケーションをインストールするには、次の手順を実行します。

データにすべてのパネルが表示されない場合

スキャン間隔の問題

このアプリケーションは、AWS CloudTrail ログで使用する S3 Source を設定するときに指定したスキャン間隔で Amazon S3 バケットをスキャンし、新しいファイルを探します。スキャン間隔を短めに (例: 5 分) 設定した場合でも、新しいファイルが見つからなければ、スキャン間隔は自動的に倍増され、最大 24 時間まで増やされます (詳細は「S3 Source のスキャン間隔の設定」参照)。スキャン間隔が増やされている状態では、時間範囲が 60 分に設定されているパネルでは、Sumo Logic に何もファイルがアップロードされていないため、表示するデータがありません。S3 バケットからデータが収集されないという意味ではなく、データが収集されているかどうかは [Status (ステータス)] ページで確認できます。

また、パネルの時間範囲を変更することもできます。これらの設定が事前に設定されている場合でも、他のパネルと同じように編集できます。手順については、「パネルの時間範囲の変更」を参照してください。

AWS 管理者アクティビティがトラッキングされない場合

AWS アカウントの管理者アクティビティをトラッキングして、[User Monitoring (ユーザ モニタリング)] ダッシュボードのすべての [Administrator Activity (管理者アクティビティ)] パネルにデータを供給するには、Sumo に対して管理者ユーザのリストを提供しておく必要があります。手順については、「Sumo での AWS 管理者アクティビティのトラッキングの有効化」を参照してください。

ダッシュボード

AWS CloudTrail - Overview (概要)

AWS ユーザ、リソース、ネットワーク、およびセキュリティ イベントの概要を表示します。パネルには、上位 10 人のユーザ、失敗したログイン、ユーザのロケーション、リソースの作成と削除の情報が表示されます。

CloudTrail overview dashboard.png

Geo Location of All Users (すべてのユーザのジオロケーション)。ジオロケーション検索を使用して、ビジターが使用した IP のロケーションを世界地図上に表示します。

Created Resources (作成されたリソース)。過去 24 時間に作成されたリソースを円グラフで表示します。

Deleted Resources Over Time (過去に削除されたリソース)。過去 24 時間に削除されたリソースを横棒グラフで表示します。

Top 10 Users (上位 10 人のユーザ)。このパネルは、過去 24 時間において最もアクティブであった上位 10 人の AWS ユーザを縦棒グラフで表示します。

Failed Logins (失敗したログイン)。過去 24 時間に失敗したログイン数を単一値グラフで表示します。

Created and Deleted Network and Security Events (作成/削除されたネットワーク/セキュリティ イベント)。過去 24 時間に作成または削除されたイベントを円グラフで表示します。

AWS CloudTrail - User Monitoring (ユーザ モニタリング)

ユーザのロケーション、管理者アクティビティ、ユーザ別のインスタンスの起動と終了など、AWS ユーザの情報を表示します。

CloudTrail user monitor dashboard.png

Geo Location of All Users (すべてのユーザのジオロケーション)。ジオロケーション検索を使用して、過去 24 時間にビジターが使用した IP のロケーションを世界地図上に表示します。

Admin Activities Over Time (経時的な管理者アクティビティ)。過去 24 時間においてアクティブであった管理者ユーザを、時間ごとの積み上げ縦棒グラフで表示します。

Top 10 Activities by Administrative Users (管理者ユーザによる上位 10 件のアクティビティ)。過去 24 時間において管理者ユーザが最も多く行った上位 10 件のアクティビティを横棒グラフで表示します。

Top 10 Users (上位 10 人のユーザ)。このパネルは、過去 24 時間において最もアクティブであった上位 10 人の AWS ユーザを縦棒グラフで表示します。

Launched and Terminated Instances by User (ユーザ別の起動および終了インスタンス)。過去 24 時間において起動または終了されたインスタンスの数を、時間ごとの積み上げ縦棒グラフで表示します。

Recent Activity by Administrative Users (管理者ユーザによる最近のアクティビティ)。過去 3 時間におけるアクティビティを、イベント名 (CreateUser、PutUserPolicy など) 別とサーバ名/場所別に表示します。

AWS CloudTrail - Network and Security (ネットワークとセキュリティ)

ネットワークおよびセキュリティ イベント、認証失敗、セキュリティ グループとネットワーク ACL の変更、および一時的な重大オペレーションの情報を表示します。  

CloudTrail Network Security Dashboard.png

Authorization Failures from All Countries (すべての国からの認証失敗)。ジオロケーション検索を使用して、失敗が発生したロケーションを世界地図上に表示します。

Recent Authorization Failures (最近の認証失敗)。最近の認証失敗を表示します。

Authorization Failures Over Time (経時的な認証失敗)。過去 24 時間に生成された「Access Denied」エラーを時間ごとに表示します。

Network and Security Events Over Time (経時的なネットワークおよびセキュリティ イベント)。過去 24 時間における特定のイベント数を時間ごとに表示します。

Recent Security Group and Network ACL Changes (最近のセキュリティ グループとネットワーク ACL の変更)。過去 3 時間においてセキュリティ グループへの受信認証やネットワーク アクセス コントロール リストの作成という形で行われたセキュリティ グループへの最新の変更を表示します。

Network ACL with All Allowed Ingress/Egress (受信/送信が許可されているすべてのネットワーク ACL)。すべてのポートで特定のサブネットの受信と送信が許可されているすべてのインバウンドまたはアウトバウンド イベントのリストを表示します。

Created and Deleted Network and Security Events (作成/削除されたネットワーク/セキュリティ イベント)。作成または削除されたイベントのグラフを表示します。

Short Lived Critical Operations (一時的な重大オペレーション)。このパネルの検索では、作成されてから 10 分以内に削除されたユーザ、グループ、またはポリシーを特定します。

AWS CloudTrail - Operations (操作)

アクション イベント、リクエストされた AWS サービス、AWS リージョン別のイベント、作成および削除されたリソース、Elastic IP アドレス オペレーションなど、AWS アカウントでのオペレーション アクティビティの情報を表示します。

Operations (1).png

Action Events (アクション イベント)。過去 1 時間において特定の AWS アクションを実行しているユーザに対応するイベントのリストを表示します。

Requested AWS Services Over Time (経時的なリクエストされた AWS サービス)。過去 24 時間における AWS サービス (EC2 および IAM) に対するリクエスト数を時間ごとに表示します。

Events by AWS Region (AWS リージョン別のイベント)。過去 24 時間における各 AWS リージョンのイベント数を時間ごとに確認しやすくします。

Recent Elastic IP Address Operations (最近の Elastic IP アドレス オペレーション)。過去 3 時間における最新のオペレーションを、IP アドレス、ユーザ、および AWS リージョン別に表示します。

Created Resources Over Time (経時的な作成されたリソース)。過去 24 時間にデプロイ全体で作成されたリソースを時間ごとに表示します。

Deleted Resources Over Time (過去に削除されたリソース)。過去 24 時間に削除されたリソースを時間ごとに表示します。

AWS CloudTrail - Console Logins (コンソール ログイン)

ユーザのロケーション、ユーザ別のログイン イベント、複数の IP アドレスからのログイン、米国外からのログイン、多要素認証を使用しないログインなど、CloudTrail コンソールへのログインに関する情報を表示します。

CloudTrail console.png

Geo Location of All Users (すべてのユーザのジオロケーション)。ジオ ルックアップ オペレーションを実行し、過去 24 時間のすべてのユーザのロケーションを IP アドレス別に世界地図上に表示します。

Login Events By User (ユーザ別のログイン イベント)。過去 24 時間におけるユーザ別のログイン成功および失敗イベントを、1 時間ごとに積み上げ縦棒グラフで表示します。

Logins Over Time (一定期間にわたるログイン数)。過去 24 時間におけるログイン成功および失敗イベントを、1 時間ごとのタイムラインに折れ線グラフで表示します。

Logins from Multiple IP (複数の IP からのログイン)。過去 24 時間のユーザ名とインスタンス数など、複数の IP アドレスからのログインの情報を集計テーブルで表示します。

Logins from Outside the USA (米国外からのログイン)。過去 24 時間のユーザ名、国コード、ログイン結果ステータス、カウントなど、米国外からのログインを集計テーブルで表示します。

Outlier - Success Login (外れ値 - 成功ログイン)。過去 24 時間における成功ログイン数の外れ値をしきい値とともに折れ線グラフで表示します。 

Login Results - One Day Time Compare (ログイン結果 - 1 日の時間比較)。ログインの成功と失敗を集計テーブルに表示し、現在のカウントを前日のカウントと比較します。 

Outlier - Failed Login (外れ値 - 失敗ログイン)。過去 24 時間における失敗ログイン試行数の外れ値をしきい値とともに折れ線グラフで表示します。 

Logins without MFA (MFA なしのログイン)。ユーザ名、ログイン結果ステータス、カウントなど、過去 24 時間に多要素認証 (MFA) なしでログインしたユーザの情報を集計テーブルで表示します。

AWS CloudTrail - S3 Public Objects and Buckets (S3 パブリック オブジェクトとバケット)

新しいパブリック オブジェクト数、パブリック バケット数、変更されたパブリック オブジェクト数など、S3 パブリック オブジェクトとバケットに関する情報を表示します。

New Public Objects (新しいパブリック オブジェクト)。過去 24 時間の新しいパブリック オブジェクト数を表示します。

New Public Objects by Object-Bucket (オブジェクト バケット別の新しいパブリック オブジェクト)。過去 24 時間におけるオブジェクト別の新しいパブリック オブジェクトを、1 時間ごとに積み上げ縦棒グラフで表示します。

New Public Objects Table (新しいパブリック オブジェクト テーブル)。時刻、キー、バケット名、アカウント ID、リージョン、ユーザ名、アクセス キー ID など、過去 24 時間における S3 バケットの新しいパブリック オブジェクトをテーブルで表示します。

Public Buckets (パブリック バケット)。過去 24 時間のパブリック バケット数を表示します。

Public Buckets (パブリック バケット)。過去 24 時間におけるパブリック バケットを、1 時間ごとに積み上げ縦棒グラフで表示します。

Public Buckets Table (パブリック バケット テーブル)。時刻、キー、バケット名、アカウント ID、リージョン、ユーザ名、アクセス キー ID など、過去 24 時間における S3 バケットのパブリック バケットをテーブルで表示します。

Modified Public Objects (変更されたパブリック オブジェクト)。過去 24 時間において変更されたパブリック バケット数を表示します。

Modified Public Objects-Bucket (変更されたパブリック オブジェクト バケット)。過去 24 時間におけるオブジェクトごとの変更されたパブリック オブジェクトを、1 時間ごとのタイムラインに積み上げ縦棒グラフで表示します。

Modified Public Objects Table (変更されたパブリック オブジェクト テーブル)。時刻、キー、バケット名、アカウント ID、リージョン、ユーザ名、アクセス キー ID など、過去 24 時間における S3 バケットの変更されたパブリック オブジェクトをテーブルで表示します。