SIEM on OpenSearch へ WAF ログを取り込む実践手順

WAF ログの可視化は、セキュリティインシデント調査の初動速度を大きく左右します。 本記事では、ログ出力元アカウントと SIEM 集約アカウントに分けて手順をまとめます。

全体像

1. 出力元アカウントで WAF ログを S3 に保存
2. S3 レプリケーションで SIEM 側ログ集約バケットへ転送
3. 集約バケットのイベントを契機に Lambda が正規化
4. OpenSearch Service へロード

出力元アカウントでの作業

1. WAF ログ出力用 S3 バケットを作成

バケット名には aws-waf-logs- プレフィックスが必要です。 共通ログ用バケットとは分けるのが安全です。

2. レプリケーション用 IAM ロール/ポリシーを作成

• s3:ReplicateObject
• s3:ReplicateDelete
• s3:ObjectOwnerOverrideToBucketOwner

など、レプリケーションに必要な権限を付与します。

3. バケットレプリケーション設定を追加

転送先を SIEM 側ログ集約バケットに設定します。

4. バケットポリシーを追加

SIEM 側へのレプリケーションを許可するように構成します。

SIEM アカウント側での作業

ログ集約バケットのバケットポリシー更新

出力元アカウントのレプリケーション IAM ロールを Principal に追加し、必要なアクションを許可します。

運用時の注意点

• 集約バケットで SSE-KMS を使う場合は、KMS キーポリシーの更新も必要
• 新環境を追加したら、レプリケーション許可ロールの追記を忘れない
• 取り込み後は OpenSearch インデックス作成状況を確認する

まとめ

WAF ログ取り込みの要点は、S3 レプリケーション権限 と 集約バケット側許可 の整合性です。 この 2 点をテンプレート化しておくと、環境追加時の運用が安定します。

参考

• SIEM on Amazon OpenSearch Service (公式リポジトリ)
• AWS 公式ブログ: SIEM on Amazon Elasticsearch Service