はじめに こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。Netskopeの運用に役立つTipsをご紹介します。
今回は新しくリリースされた機能である Netskope Log Streaming について、その概要と具体的な配信設定の方法を解説します。
Netskope Log Streamingとは?
Netskope Log Streamingは、Netskopeが生成するTransaction Eventsログを、指定したクラウドストレージにリアルタイムで配信できるサービスです 。
配信できるログの種類
配信できるログの種類は現時点ではTransaction Events のみです 。
- Transaction Events:ユーザーのWebアクセスに関する非常に詳細な通信記録です 。Netskope経由のすべてのHTTP/HTTPSリクエスト等が、個別のイベントとして記録されます 。
※該当ログは、インシデント調査、シャドーITの可視化、コンプライアンス監査証跡、高度な脅威分析などに活用できます 。
メリットと保管先
ログを直接クラウドストレージに配信することで、スケーラビリティやコスト効率、リアルタイムでのデータ可用性が向上します 。取得したログは、使い慣れたSIEMツールなどで分析可能です 。
ログの保管先
主要なクラウドに保管、利用することが可能
- AWS S3
- Azure Blob
- GCP Cloud Store
SIEMが提供する上記パブリッククラウド対応の標準的プラグインで連携が可能です。なおNetskope Log Streaming 機能の利用にはオプションライセンスが必要です。詳細については、弊社までお問い合わせください。
設定方法 - データ配信まで
構成
今回は以下のような構成で赤枠のなかのAWS S3へのデータ配信までの動作確認をします。
NetskopeテナントでLog Streamingの配信設定を行うために必要なS3パラメータ情報、データ配信を行う手順の流れは以下のようなものとなります。
S3パラメータ情報
- 配信先のS3バケット名
- 配信先のS3バケットのフォルダーパス
- アクセスキー、シークレットアクセスキー
- リージョン
設定手順
- AWSテナントでS3 にログ配信用のバケットを作成
-
- 1-1. S3 にログ配信用のバケットを作成
- 1-2. IAMアクセスポリシー作成
- 1-3. IAMユーザー&アクセスキーを作成
- Netskope テナントでストリームの設定
- 2-1. ストリームの作成(ストリーミングする名前とプロパティ)
- 2-2. データセットの選択(出力先に記録するデータパラメータ)
- 2-3. 宛先の設定(ログファイルを配信する宛先を設定)
- 2-4. ストリームの有効化(構成されたストリームを有効にする)
1. AWSテナントでS3 にログ配信用のバケットを作成
1-1. S3 にログ配信用のバケットを作成
AWS > S3 > バケットを作成 をクリック。
今回はバケット名 を入力しそれ以外の設定はデフォルトの状態でバケットを作成をクリックします。
バケット作成後に作成したARN を確認&控えておきます。
1-2. IAMアクセスポリシー作成
AWS > IAM > ポリシー > ポリシーの作成 をクリック。
JSONでの入力に切り替え、以下のような値を指定し次へをクリックします。
- Sid:任意
- Effect:Allow
- Action:s3:PutObject
- Resource:作成したBucketのリソースネーム(ARN)を指定
ポリシー名 を入力しポリシーの作成 をクリック。
1-3. IAMユーザー&アクセスキーを作成
AWS > IAM > ユーザー > ユーザーの作成 をクリック。
ユーザーの詳細 を指定し次へ。
許可設定にて1-2. で作成したIAMアクセスポリシー を選択&アタッチ 次へ。
ユーザーの作成 をクリック。
作成したユーザー をクリック。
セキュリティ認証情報タブ より アクセスキー > アクセスキーを作成 をクリック。
「AWSコンピューティングサービスで実行されるアプリケーション」を選択、「上記のレコメンデーションを理解し、アクセスキーを作成します。」の確認をチェックし次へ。
説明タグ値 を入力し アクセスキーを作成 をクリック
アクセスーキー と シークレットアクセスキー の値を控え、必要に応じてCSVをダウンロードし、完了ボタンをクリック。
2. Netskope テナントでストリームの設定
次に、Netskopeの管理画面でログ配信の設定を行います。
2-1.ストリームの作成(ストリーミングする名前とプロパティ)
(Netskopeテナント > Settings > Tools > Log Streaming)
Create Stream をクリックしてストリームを作成します。
2-2.データセットの選択(出力先に記録するデータパラメータ)
今回はTransaction Events、CSV、GZIP を選択。
2-3.宛先の設定(ログファイルを配信する宛先を設定)
Select Destination より Amazon S3を選択
以下の情報入力しSave をクリック。
2-4.ストリームの有効化(構成されたストリームを有効にする)
設定したストリームをSaveします。
ストリームが作成されると一覧に表示されます 。なお、ストリームのアクティベーションにはストリームのアクティベーションには作成から1時間程度かかる場合があるようです。※今回Transaction Events の配信設定を実施しましたが、もともとEvents&Alertsの設定を実施している場合はこれ以上ストリームの設定が実施できないためCreate Streamはグレーアウトします。
データ転送の確認
設定から1時間ほど経過した後、作成したS3バケットを確認します 。フォルダが作成(※今回はtransaction_2)され、その中にGZIP形式で圧縮されたログファイルが転送されていれば成功です 。
参考
さいごに
今回はNetskope Log Streamingの概要と、AWS S3へのログ転送設定についてご紹介しました 。この機能を使えば、Netskopeの豊富なログデータをクラウド上で柔軟に活用できます。
本番環境で運用する際には、以下の点もご検討ください。- S3ライフサイクルルール:データ保持期間とコスト効率化のため、ログのライフサイクルルールを作成する 。
次回は、この配信されたログデータをSIEMで活用する方法についてご紹介できればと思います 。
この記事が皆さまのNetskope運用の一助となれば幸いです 。
Netskope についてのお問い合わせ
Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。
.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)