緩和コントロールモニタリングのための AWS WAF 統合の構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:3分

    • 緩和コントロールの監視のために仮想マシンが AWS WAF 統合で保護されているかどうかを判断します。

    始める前に

    データは、次の 2 つの異なるアプリケーションによってインポートされます。

    • ディスカバリーとサービスマッピングパターンアプリケーションは、 AWS サービスアカウントで定義したウェブ ACL の名前とデフォルトアクション (許可またはブロック) をインポートします。ディスカバリーパターン Amazon AWS - Web ACL (LP) がアプリケーションでアクティブ化されている。
    • 緩和コントロールモニタリングアプリケーションは、実際の Web ACL ルールと、アプリケーションロードバランサーなどの関連リソース間の関係をインポートします。この拡張機能は、緩和コントロールモニタリングアプリケーションの一部として含まれています。

    アプリケーションをアクティブ化する前に、Web ACL とルールを定義する手順を完了し、Exploit Protection (WAF) 軽減コントロールで説明されている AWS WAF 統合に必要なアプリケーションをアクティブ化していることを確認します。

    必要なロール:
    • ServiceNow AI Platform®インスタンスにプラグインをインストールするためのアドミン。
    • SPC ワークスペースでの統合を構成するためのアドミングループ。
    • AWS 使用する AWS サービスアカウントの認証情報。

    手順

    1. 移動先 すべて > セキュリティポスチャコントロールワークスペース > コネクタとユースケースのセットアップ > [SPC API 統合] タブ.
    2. [AWS WAF] タイルを選択します。
    3. 一方を選択します。
      オプション 説明
      サービスアカウントの表示 インスタンスで構成されている利用可能な AWS サービスアカウントを表示します。
      新しいアカウントを作成するには:
      1. [サービスアカウントの表示] を選択します。
      2. [New (新規)] を選択します。
      3. フィールドに入力します。
        • 名前: AWS サービスアカウントの名前。これは、ディスカバリーのスケジュールと認証情報に使用するアカウントです。
        • アカウント ID: AWS サービスアカウントのアカウント ID。
        • データセンタータイプ:AWS データセンター [cmdb_ci_aws_datacenter] を選択します
      4. [Submit (送信)] を選択します。
      サービスアカウントを構成 インスタンスで AWS サービスアカウントを構成します。
    4. 使用する AWS サービスアカウントのディスカバリースケジュールを作成します。
      1. 移動先 すべて > ディスカバリー > ホーム.
      2. [アクティブなスケジュールを表示] を選択します。
      3. [ スケジュールを追加] を選択します。
      4. [ クラウドスケジュールを追加 ] を選択し、フィールドに入力します。
        フィールド 説明
        プロバイダー AWS
        スケジュール名 他の AWS スケジュールと区別できるように、スケジュールの一意の名前を入力します。
        アカウントの追加 サービスアカウントを作成する場合に選択します。
        アカウントの選択 既存のサービスアカウントを編集する場合に選択します。
        アカウント ID AWS サービスアカウントのアカウント ID。
        MID 選択タイプ MID サーバーを指定する必要があります。次のいずれかを選択します:
        • MID サーバーの自動選択
        • 特定の MID クラスター
        • 特定の MID サーバー

        MID サーバーとともに個々の仮想マシンのルールデータをインポートするには、MID サーバープロパティをアクティブ化する必要があります。このプロパティを検証または設定するには、次の場所に移動します すべて > MID サーバー > プロパティ > sn_itom_pattern.discover_aws_app_pool_members. 値を true に設定します。
        認証情報 これらは、サービスアカウントのディスカバリー認証情報です。
        URL
        アクセスロール名
        アクセスするアカウントを選択する
      5. [テストアカウント] を選択します。
        続行するには、検証が成功する必要があります。
      6. [Next (次へ)] をクリックします。
      7. 検出するデータセンターを選択します。
      8. [ IP アドレスで VM を検出 ] トグルを選択し、手順 d で選択した MID サーバーをリストから選択します。
      9. [Next (次へ)] をクリックします。
      10. ディスカバリーを実行する頻度とタイミングを選択します。
      11. [終了して実行] を選択します。

        設定したディスカバリースケジュールが実行された後、ディスカバリーパターン Amazon AWS - Web ACL (LP) が実行され、両方のアプリケーションからのデータがインポートされます。