Splunk、AWS Network Firewallのローンチパートナーに

Bill Bartlett

AWSは、Amazon Virtual Private Cloud (VPC)に不可欠なネットワーク保護機能を簡単に導入できる新しいマネージド型のサービス、AWS Network Firewallを発表しました。Splunkは、ローンチパートナーとして、AWS Network Firewallとの統合機能をお客様に提供するためにAWSと緊密に連携してきました。私の尊敬する同僚、Anush Jayaramanと共同執筆するこのブログでは、まずAWS Network Firewallのデータフローアーキテクチャと、データを取り込むための選択肢について詳しく説明します。次に、CloudWatch経由で収集するAWS Network Firewallメトリクスの監視設定について触れます。そして最後に、この豊富なデータセットを正規化して活用するのに役立つSplunkのAWS Network Firewall Add-On for Splunkについて概説します。

データを取り込む

SplunkでAWSサービスのデータを扱う場合、まず例外なく、データフローの構築方法が複数あります。AWS Network Firewallの場合も複数の選択肢があります。以下は、AWS Network Firewallのデータを取り込む際の選択肢の概略図です。

データを取り込む図

S3に直接ログを送信するようにAWS Network Firewallを設定してから、設定したS3バケットからデータを収集するようにSplunk Add-On for AWSを設定します。
CloudWatch Logsにログを送信するようにAWS Network Firewallを設定します。CloudWatch Logsにログが収集されたら、2つの選択肢があります。
1. Splunk Add-On for AWSを使用し、AWS Network FirewallのデータをフェッチするようにCloudWatch Logsの入力を設定します。または、
2. Kinesis Data Firehoseを使用し、CloudWatch LogsグループからプルしたデータをSplunk HTTPイベントコレクター(HEC)エンドポイントに送信するように設定します。
Firehoseに直接送信するようにAWS Network Firewallを設定し、そこからSplunk HECエンドポイントに送信します。この方法を選ぶ場合は、Firehoseの設定で次のカスタムLambdaを使用してください。

import json
import base64
import copy

def lambda_handler(event, context):
events=[]
event_map={}
for record in event['records']:
payload = base64.b64decode(record['data'])
json_obj = json.loads(payload)
output_json_with_line_break = json_obj['message'] + "\n"
encoded_bytes = base64.b64encode(bytearray(output_json_with_line_break, 'utf-8'))
encoded_string = str(encoded_bytes, 'utf-8')
event_map = copy.deepcopy(record)
event_map['data'] = encoded_string
event_map['result'] = 'Ok'
events.append(event_map)

return {'records': events}

AWS Network Firewallのメトリクス

AWS Network Firewallのリリースにより、CloudWatchのメトリクスに新しい名前空間が加わります。ファイアウォールのメトリクスデータには、この名前空間を使用してアクセスできます。Splunk Add-on for AWSにCloudWatchの新しいメトリクス名前空間を追加するプロセスに慣れていない方は、私が去年執筆したこちらのブログに目を通されることを強くお勧めします。このブログは、当時リリースされたばかりのAPIメトリクスについて書いたもので、プロセスの要点がわかります。

以下は、AWS Network Firewallのメトリクスにアクセスするために必要な詳細です。

名前空間	AWS/VPCFirewall
ディメンション	AvailabilityZone、Engine、FirewallName
ディメンション値	[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":[".*"]}]

メトリクスの設定を終えたら、いつもどおりにSplunkの数々の優れた機能を使用してシンプルなサーチを作成し、メトリクスを表示できます。

メトリクスの画面

Splunk Add-on for AWS Network Firewall

Splunkは、お客様がデータから最大限の価値を引き出せるよう支援する取り組みの一環として、AWSの新サービスの発表に合わせ、Splunk Add-on for AWS Network Firewallをまもなくリリースします。このアドオンの最大の特長は、Splunkの複数のCIMモデルを使用してデータを正規化する機能があらかじめ設定されていることだと、筆者は考えています。この機能を使用すれば、業界をリードするSIEMであるSplunk Enterprise SecurityにAWS Network Firewallのデータを統合でき、Splunk Enterprise Securityの高度な機能を利用できます。またCIMモデルのほかに、アドオンにはAWS Network Firewallデータの可視化をすぐに始められるサンプルダッシュボードも用意されています。

AWSによるAWS Network Firewallのリリースによって、ステートフルなネットワークファイアウォールサービスが登場します。お客様は、お客様が運用する一連のサービスへのトラフィックをVPCの境界でフィルタリングできるようになります。リリース日は、AWS最大のユーザーカンファレンスであるAWS re:Invent(今年は初めてバーチャルで開催)の数週間前です。Splunkは、re:Inventのプラチナスポンサーであり、AWS Security Jamを後援します。AWSのセキュリティソリューションやAWSとSplunkの戦略的提携について詳しく知ることができる絶好の機会です。re:Inventにご参加の折には、ぜひSplunkのバーチャルブースへお越しください。

このブログはこちらの英語ブログの翻訳、庄司大助によるレビューです。

Bill Bartlett

パートナー 3 分程度

サプライチェーン強化の落とし穴

Accenture社は、業界をリードするSplunkの強力なデータ分析プラットフォームを活用して、サプライチェーンの効率とレジリエンスを向上させる方法を提案しています。

パートナー 1 分程度

Splunk Services Japan合同会社、AWS社主催「2023 Country AWS Partners of the Year」の「Global ISV Partner of the Year – Japan」初受賞

Splunk Services Japan合同会社は、3月15日（金）に開催されましたAWS社主催「AWS Partner Summit Japanレセプションパーティ」において、「Global ISV Partner of the Year – Japan」を初めて受賞しました。

パートナー 4 分程度

パートナー向けイベント Aim Highのレポート

Splunkとパートナーと一緒に、「目標を高く持って常に高みを目指そう！」というスローガンの元、企画されたイベント Aim Highは、オンサイトを中心としたハイブリッド形式で大手町オフィスで開催することができました。当日は、オンサイト、リモートあわせて100名以上のパートナーにお集まり頂きました。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら