Splunk、AWS Network Firewallのローンチパートナーに

Bill Bartlett

AWSは、Amazon Virtual Private Cloud (VPC)に不可欠なネットワーク保護機能を簡単に導入できる新しいマネージド型のサービス、AWS Network Firewallを発表しました。Splunkは、ローンチパートナーとして、AWS Network Firewallとの統合機能をお客様に提供するためにAWSと緊密に連携してきました。私の尊敬する同僚、Anush Jayaramanと共同執筆するこのブログでは、まずAWS Network Firewallのデータフローアーキテクチャと、データを取り込むための選択肢について詳しく説明します。次に、CloudWatch経由で収集するAWS Network Firewallメトリクスの監視設定について触れます。そして最後に、この豊富なデータセットを正規化して活用するのに役立つSplunkのAWS Network Firewall Add-On for Splunkについて概説します。

データを取り込む

SplunkでAWSサービスのデータを扱う場合、まず例外なく、データフローの構築方法が複数あります。AWS Network Firewallの場合も複数の選択肢があります。以下は、AWS Network Firewallのデータを取り込む際の選択肢の概略図です。

データを取り込む図

S3に直接ログを送信するようにAWS Network Firewallを設定してから、設定したS3バケットからデータを収集するようにSplunk Add-On for AWSを設定します。
CloudWatch Logsにログを送信するようにAWS Network Firewallを設定します。CloudWatch Logsにログが収集されたら、2つの選択肢があります。
1. Splunk Add-On for AWSを使用し、AWS Network FirewallのデータをフェッチするようにCloudWatch Logsの入力を設定します。または、
2. Kinesis Data Firehoseを使用し、CloudWatch LogsグループからプルしたデータをSplunk HTTPイベントコレクター(HEC)エンドポイントに送信するように設定します。
Firehoseに直接送信するようにAWS Network Firewallを設定し、そこからSplunk HECエンドポイントに送信します。この方法を選ぶ場合は、Firehoseの設定で次のカスタムLambdaを使用してください。

import json
import base64
import copy

def lambda_handler(event, context):
events=[]
event_map={}
for record in event['records']:
payload = base64.b64decode(record['data'])
json_obj = json.loads(payload)
output_json_with_line_break = json_obj['message'] + "\n"
encoded_bytes = base64.b64encode(bytearray(output_json_with_line_break, 'utf-8'))
encoded_string = str(encoded_bytes, 'utf-8')
event_map = copy.deepcopy(record)
event_map['data'] = encoded_string
event_map['result'] = 'Ok'
events.append(event_map)

return {'records': events}

AWS Network Firewallのメトリクス

AWS Network Firewallのリリースにより、CloudWatchのメトリクスに新しい名前空間が加わります。ファイアウォールのメトリクスデータには、この名前空間を使用してアクセスできます。Splunk Add-on for AWSにCloudWatchの新しいメトリクス名前空間を追加するプロセスに慣れていない方は、私が去年執筆したこちらのブログに目を通されることを強くお勧めします。このブログは、当時リリースされたばかりのAPIメトリクスについて書いたもので、プロセスの要点がわかります。

以下は、AWS Network Firewallのメトリクスにアクセスするために必要な詳細です。

名前空間	AWS/VPCFirewall
ディメンション	AvailabilityZone、Engine、FirewallName
ディメンション値	[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":[".*"]}]

メトリクスの設定を終えたら、いつもどおりにSplunkの数々の優れた機能を使用してシンプルなサーチを作成し、メトリクスを表示できます。

メトリクスの画面

Splunk Add-on for AWS Network Firewall

Splunkは、お客様がデータから最大限の価値を引き出せるよう支援する取り組みの一環として、AWSの新サービスの発表に合わせ、Splunk Add-on for AWS Network Firewallをまもなくリリースします。このアドオンの最大の特長は、Splunkの複数のCIMモデルを使用してデータを正規化する機能があらかじめ設定されていることだと、筆者は考えています。この機能を使用すれば、業界をリードするSIEMであるSplunk Enterprise SecurityにAWS Network Firewallのデータを統合でき、Splunk Enterprise Securityの高度な機能を利用できます。またCIMモデルのほかに、アドオンにはAWS Network Firewallデータの可視化をすぐに始められるサンプルダッシュボードも用意されています。

AWSによるAWS Network Firewallのリリースによって、ステートフルなネットワークファイアウォールサービスが登場します。お客様は、お客様が運用する一連のサービスへのトラフィックをVPCの境界でフィルタリングできるようになります。リリース日は、AWS最大のユーザーカンファレンスであるAWS re:Invent(今年は初めてバーチャルで開催)の数週間前です。Splunkは、re:Inventのプラチナスポンサーであり、AWS Security Jamを後援します。AWSのセキュリティソリューションやAWSとSplunkの戦略的提携について詳しく知ることができる絶好の機会です。re:Inventにご参加の折には、ぜひSplunkのバーチャルブースへお越しください。

このブログはこちらの英語ブログの翻訳、庄司大助によるレビューです。

Bill Bartlett

パートナー 4 分程度

Cisco Partner Summit 2024を振り返る：共に未来を築く

Cisco Partner Summit 2024では、エンタープライズクラスのセキュリティとオブザーバビリティに関する課題の解決においてSplunkが重要な役割を果たすという認識が広まっていることを強く実感しました。

パートナー 2 分程度

SplunkがAWSリテールコンピテンシーを取得

Splunkは、業界で評価の高いアマゾンウェブサービス(AWS)リテールコンピテンシーを正式に取得しました。

パートナー 3 分程度

Microsoft AzureでSplunkの一般提供を開始

Fortune 2000社の多くが利用するMicrosoft AzureでSplunkの一般提供が始まり、エンタープライズグレードのセキュリティとオブザーバビリティを簡単に実現するための道が開かれました。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら