XDR for Cloud - AWS VPC Flow Logsを使用するために必要および推奨される設定を確認してください。
Cloud - AWS VPCフローログのXDRを有効にしてスタックテンプレートをデプロイする前に、機能に関する以下の推奨事項と要件を確認してください。
-
Cloud用XDR - AWS VPCフローログは、VPCフローログバージョン5以降の完全な検出機能をサポートします。最も包括的な脅威の検出範囲を得るために、カスタム形式を使用し、以下のフィールドをフローログレコードに追加してください。
アクション(デフォルト)tcpFlagspktDstAddrpktSrcAddrflowDirectionカスタムフローログフィールドの作成に関する詳細は、https://docs.aws.amazon.com/vpc/latest/userguide/flow-log-records.html を参照してください。カスタムフローログの作成に関する詳細は、https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3-create-flow-log.html を参照してください。 -
VPCフローログのソースと同じリージョンにある宛先S3バケットを使用する必要があります。例えば、VPC フローログのソースが
us-east-2にある場合、S3 バケットもus-east-2に配置する必要があります。 -
この機能は、Amazon S3 管理キー (SSE-S3) を使用したサーバー側の暗号化のみをサポートします。この機能は他の暗号化方法をサポートしていません。
-
トレンドマイクロ は、lambda 呼び出しを減らし、機能のコスト影響を低減するために、10 分間の集計間隔を使用することをお勧めします。
-
トレンドマイクロ は、VPC フローログのテキスト形式を使用して、Lambda 実行時間を短縮し、機能のコスト影響を低減することを推奨します。