AWS WAFをSIEM on Amazon OpenSearch Serviceで可視化

2022/09/27

SIEM on Amazon OpenSearch Serviceを構築の環境にAWS WAFのログも追加しました。

AWS WAFのフルログをS3に出力

Web ACLの[Logging and metrics]でLogging destinationをS3バケットにしました。
S3バケット名は、aws-waf-logs-で始まる必要がありました。

バケットポリシーはAWS WAF ログを一元化されたログ記録アカウントの Amazon S3 バケットに送信するにはどうすればよいですか?に記載のとおりにしました。

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-xxxxx/AWSLogs/123456789012/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-xxxxx",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

{

"Version": "2012-10-17",

"Id": "AWSLogDeliveryWrite20150319",

"Statement": [

{

"Sid": "AWSLogDeliveryWrite",

"Effect": "Allow",

"Principal": {

"Service": "delivery.logs.amazonaws.com"

"Action": "s3:PutObject",

"Resource": "arn:aws:s3:::aws-waf-logs-xxxxx/AWSLogs/123456789012/*",

"Condition": {

"StringEquals": {

"s3:x-amz-acl": "bucket-owner-full-control",

"aws:SourceAccount": "123456789012"

"ArnLike": {

"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"

}

{

"Sid": "AWSLogDeliveryAclCheck",

"Effect": "Allow",

"Principal": {

"Service": "delivery.logs.amazonaws.com"

"Action": "s3:GetBucketAcl",

"Resource": "arn:aws:s3:::aws-waf-logs-xxxxx",

"Condition": {

"StringEquals": {

"aws:SourceAccount": "123456789012"

"ArnLike": {

"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"

}

]

}

設定後、オブジェクトができていることを確認しました。

SIEM Lambdaにトリガー追加

Lambda関数aes-siem-es-loaderにトリガーを追加しました。
トリガーとしてaes-siem-123465789012-logバケットが作成されているので、そこにレプリケーションするか、トリガー追加するかの選択肢になりました。
ログオブジェクトを重複させるのはいやなのでトリガーを追加しました。

Lambda関数のCloudWatch Logsで対象のS3バケットからデータを取得して処理していることが確認できました。