Prisma Cloudの監査ログを保管してみた

今回は、Prisma Cloud環境のセキュリティログをどのように管理し、監査に備えることができるかについてお話ししていきます。

Prisma Cloud の監査ログ
監査ログをAWS環境に転送してみる
まとめ

Prisma Cloud の監査ログ

監査ログ機能

企業にとって、セキュリティは常に最重要課題です。Prisma Cloudによってマルチクラウド環境を統合的に管理・監視することでセキュリティ対策を講じることが可能ですが、Prisma Cloud環境自体のセキュリティについてもきちんと対策しておく必要があります。

Prisma Cloudの監査ログ機能を使えば、セキュリティに関する行動を実行・確認し、問題が発生した際の迅速な対応が可能となります。
監査ログは、Prisma Cloud管理者によって行われた全アクションを時系列で記録し、誰がいつ何をしたのかを簡単に把握できるようにしています。これにより、組織としてコンプライアンスを保つことができます。

監査ログの保存とアクセス

Prisma Cloudでは、監査ログを最大120日間保管します。具体的なアクティビティを確認するためには、Prisma Cloudコンソールの[設定]から[監査ログ]を選び、時間範囲を選択することで詳細を確認できます。また、アクションタイプやユーザー、リソース名などでフィルタを使い、効率的に必要なデータを抽出することが可能です。

CSV出力

Prisma Cloudのコンソール上で、監査ログをCSV形式でダウンロードすることも可能です。「Load More」ボタンを使うことで、より多くの監査ログレコードを簡単に取得することができ、最大500件のレコードをリクエストできます。これにより必要な情報に迅速にアクセスでき、管理業務を円滑に進めることができます。

監査ログ転送の設定

Prisma Cloudコンソール上では、最大120日間しか監査ログを保管できません。セキュリティ監査の準備等、120日間以上ログを保管しておきたい場合は、Prisma Cloudで生成された監査ログをAmazon SQSやWebhooksといった外部システムへ転送することができます。
設定方法はとてもシンプルで、エンタープライズ設定から監査ログ送信機能を有効化し、通知先を選ぶだけです。設定後に出力された新しい監査ログが、選択した通知先チャネルへ送信されます。

監査ログをAWS環境に転送してみる

実際にPrisma Cloud監査ログの転送設定をしてみます。
今回やりたいことは、「Prisma Cloudの監査ログをAWS上のS3バケットに保管する」です。

AWS環境側の設定

まずは、監査ログの保管先となるAWS環境側の準備をしていきます。

Prisma Cloudの監査ログを外部へ送信する際の通知先として指定できるサービスは限られており、Amazon SQSまたはWebhooks通知チャネルしか通知先と指定できません。そのため、監査ログをSQSに送信⇒何らかの方法でSQSへ送信された監査ログをS3に保管、という構成にする必要があります。
今回はSQSへ送信された監査ログをS3に保管する処理をLambdaで行うため、以下のリソースを準備しました。

・S3バケット
・SQS
・Lambda
・IAM（Lambdaに設定するIAMロール・IAMポリシー）

今回はLambdaのトリガーにSQSを設定することで、SQSに監査ログが送られてきたタイミングで自動的にLambdaが起動し、SQSに送られてきた監査ログをS3に保管する処理が行われる構成としました。S3バケット、Lambdaに関する設定や処理の起動タイミング等は、各環境の要件にあったものを選択してもらえれば問題ありませんのでここでは割愛します。

SQSはログの順序性を守りたいため「FIFO」タイプを選択しました。SQS名以外のその他の設定は今回はデフォルトのままで作成しています。