こんにちは、 ネクストモード株式会社 の sobar です。Netskopeの運用に役立つTipsをご紹介します。
今回は新しくリリースされた機能である Netskope Log Streaming について、その概要と具体的な配信設定の方法を解説します。
Netskope Log Streamingは、Netskopeが生成するTransaction Eventsログを、指定したクラウドストレージにリアルタイムで配信できるサービスです 。
配信できるログの種類は現時点ではTransaction Events のみです 。
※該当ログは、インシデント調査、シャドーITの可視化、コンプライアンス監査証跡、高度な脅威分析などに活用できます 。
ログを直接クラウドストレージに配信することで、スケーラビリティやコスト効率、リアルタイムでのデータ可用性が向上します 。取得したログは、使い慣れたSIEMツールなどで分析可能です 。
主要なクラウドに保管、利用することが可能
SIEMが提供する上記パブリッククラウド対応の標準的プラグインで連携が可能です。なおNetskope Log Streaming 機能の利用にはオプションライセンスが必要です。詳細については、弊社までお問い合わせください。
今回は以下のような構成で赤枠のなかのAWS S3へのデータ配信までの動作確認をします。
NetskopeテナントでLog Streamingの配信設定を行うために必要なS3パラメータ情報、データ配信を行う手順の流れは以下のようなものとなります。
S3パラメータ情報
設定手順
AWS > S3 > バケットを作成 をクリック。
今回はバケット名 を入力しそれ以外の設定はデフォルトの状態でバケットを作成をクリックします。
バケット作成後に作成したARN を確認&控えておきます。
AWS > IAM > ポリシー > ポリシーの作成 をクリック。
JSONでの入力に切り替え、以下のような値を指定し次へをクリックします。
ポリシー名 を入力しポリシーの作成 をクリック。
AWS > IAM > ユーザー > ユーザーの作成 をクリック。
ユーザーの詳細 を指定し次へ。
許可設定にて1-2. で作成したIAMアクセスポリシー を選択&アタッチ 次へ。
ユーザーの作成 をクリック。
作成したユーザー をクリック。
セキュリティ認証情報タブ より アクセスキー > アクセスキーを作成 をクリック。
「AWSコンピューティングサービスで実行されるアプリケーション」を選択、「上記のレコメンデーションを理解し、アクセスキーを作成します。」の確認をチェックし次へ。
説明タグ値 を入力し アクセスキーを作成 をクリック
アクセスーキー と シークレットアクセスキー の値を控え、必要に応じてCSVをダウンロードし、完了ボタンをクリック。
次に、Netskopeの管理画面でログ配信の設定を行います。
(Netskopeテナント > Settings > Tools > Log Streaming)
Create Stream をクリックしてストリームを作成します。
今回はTransaction Events、CSV、GZIP を選択。
Select Destination より Amazon S3を選択
以下の情報入力しSave をクリック。
設定したストリームをSaveします。
ストリームが作成されると一覧に表示されます 。なお、ストリームのアクティベーションにはストリームのアクティベーションには作成から1時間程度かかる場合があるようです。※今回Transaction Events の配信設定を実施しましたが、もともとEvents&Alertsの設定を実施している場合はこれ以上ストリームの設定が実施できないためCreate Streamはグレーアウトします。
設定から1時間ほど経過した後、作成したS3バケットを確認します 。フォルダが作成(※今回はtransaction_2)され、その中にGZIP形式で圧縮されたログファイルが転送されていれば成功です 。
今回はNetskope Log Streamingの概要と、AWS S3へのログ転送設定についてご紹介しました 。この機能を使えば、Netskopeの豊富なログデータをクラウド上で柔軟に活用できます。
本番環境で運用する際には、以下の点もご検討ください。次回は、この配信されたログデータをSIEMで活用する方法についてご紹介できればと思います 。
この記事が皆さまのNetskope運用の一助となれば幸いです 。
Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。