際際滷

セッションアクティビティログは聞えるのか�
@ログ蛍裂茶�氏オンライン vol.2
2020定6埖26晩(署)
晩曳勸冴

徭失�B初
瘁晩スライド巷�_嚠協
兆念: 晩曳勸冴 (ひびのひさし)
�I��: ログ蛍裂プラットフォ�`ムの�O�と��B
挫きなツ�`ル: Logstash
モチベ: ログの試喘、蛍裂の兼肖を和げること
セキュリティログ蛍裂児�P試喘秘�T(@IT)
https://www.atmarkit.co.jp/ait/series/16525/
クラウド�h廠のログをどう試かす�枠�l宀の岑�から僥ぶ
https://ascii.jp/elem/000/001/697/1697672/

‐ログ蛍裂茶膿氏／セッションアクティビティログは聞えるのか

云晩、お�すること
? セッションアクティビティログの�
? CloudWatch Logsの耙しい�
? Chatbotを�してみた�

�g�Fしたかったセキュリティ勣周
1. 僕佚圷IPアドレスによるアクセス�慟酉�
2. �∀�MFAによる謹勣殆�J�^ログインの�崙
3. 音勣なSSH�Iの塘下契峭
4. スイッチロ�`ルを喘いたAWS�h廠の荷恬崙囮
5. EC2の荷恬ログ函誼とログの個ざん契峭
6. ConsoleLoginとStartSessionのイベント宥岑
? こんなようなことをしようと房ってるところでSession Managerをまじめに乾ることになった。

ログ�O�
ログ們�e
ログ蛍裂
��撹��
Internet
AWS Cloud
VPC
オフィス�h廠
CloudWatch
Logs
CloudTrail
IAM
S3
屎�ユ�`ザ
音屎なユ�`ザ
SSH
HTTPS
Systems Manager
MFA token
Management
Console
HTTPS
ログ竃薦
ログ竃薦セッションマネ�`ジャ�`
ログイン�J�^
�J辛
IP崙囮
MFA�J�^
コンソ�`ル荷恬
Security group
SSH俊�A�o�浸�
IAMポリシ�`崙囮
EC2 EC2
ログインの�O�縫蹈�
セッション�_兵/�K阻ログ
コンソ�`ル
荷恬ログLambda
Event
Slack
イベント宥岑
セキュリティ
�O�宀
Elasticsearch
Service
Slack宥岑
ログ�僕
(サブスクリプションフィルタ)
Cognito
ログイン�J�^

IAM�O�
Systems ManagerManagement
Console
MFA token
IAMユ�`ザ
(ログイン喘)
dev-user01
IAMロ�`ル�
(恬�I喘)
switch-dev-role
IAMポリシ�`�
(僕佚圷IP崙囮/MFA�崙喘)
must-mfalogin
IAMポリシ�`�
(EC2荷恬喘)
allow-dev-ec2
EC2
�ログイン
�IAM�J�^
�スイッチロ�`ル
⊥セッション�_兵/�K阻
∠コンソ�`ル荷恬
IAMロ�`ル�
(EC2喘)
ec2-ssm-access-role
IAMポリシ�`�
(SSM荷恬/ログ竃薦喘)
AmazonEC2RoleforSSM
IAMポリシ�`∠
(アプリに駅勣な�慙涕錦誡�)
IAMグル�`プ
(�_�k喘)
dev-group
IAM
⊥¨EC2軟��/唯峭
芙坪ネットワ�`ク
VDI極挑
�_�k宀
S3
CloudWatch Logs
⌒ログ竃薦

セッションアクティビティログとは
? Session ManagerでEC2俊�Aして�g佩したシェル荷恬のログですね��
(WindowsのPowershellも函れるよ)
セッションアクティビティのログ��hと�O��
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-logging-auditing.html
? Linuxのscriptコマンドでログを函誼している
? ログの隠贋枠にS3バケットやCloudWatch Logsが峺協できる
? ログをKMSで圧催晒して�C畜來を�_隠できる
こうならないための隠�ね...

S3バケットへの竃薦
ファイル (=セッションID)
佩�gに�笋平娑徙个�襪袰zんでしまう...
(マジで噫�なディスタンス)

CloudWatch Logsへの竃薦
ログストリ�`ム兆 (=セッションID)
1周のイベントとしてゴリっとログ竃薦される

‐ログストリ�`ム／
‐S3バケット／
CloudWatch Logsの耙しいとこ
? マルチラインのログを1つのイベントとして�Qってくれるため、イベント�g了で�碧��┘蠅�g佩できる。
‐ログファイル／
‐CloudWatch Logs／
xxxxxxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
xxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
1つのイベント
(マルチライン)
xxxxxxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
xxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
‐ファイル(オブジェント)／
xxxxxxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
xxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
S3へ
CWLへ
‐ロググル�`プ／
xxxxxxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
xxxxxxxxxxxxxxx
xxx: xxxxxx
xxx: xxxxxx
AthenaやS3 Selectなどで
クエリを�g佩してもマルチラインの
ログを1つのイベントとして�J�Rしない。
1つのログストリ�`ムにマルチラインの
ログが1つのイベントとして鯉�{される
ため、Insightsなどでクエリするとイベ
ント�g了で冥沫が辛嬬になる。

Elasticsearch Serviceへの�僕でハマる
? �}方のロググル�`プから1つのAmazon ESにストリ�`ムしようとすると2つ朕參週のログの鯉�{に払�，垢襦�
(Lambda�v方の個俐圭隈は、Appendixに��d)
サブスクリプションを聞喘したログデ�`タのリアルタイム�I尖
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/Subscriptions.html
CloudWatch Logs
CloudTrail
(�O�穆^�Eログ)
Systems Manager
(セッションアクティビティログ)
Lambda
(紗垢�I尖)
Elasticsearch
Service
セキュリティ
�O�宀
Cognito
ssm-logging
cloudtrail
ｃｗｌ�
YYYY.MM.DD
ロググル�`プ
インデックス
‐群箭／
Amazon ESへのストリ�`ム
(サブスクリプションフィルタ)
�J�^�碧�攜饉{
�ログ竃薦
�¨ログ竃薦
デフォルトでは、仝cwl-々という
インデックス兆に鯉�{するように
Lamdba�v方でセットされている。
そのため、�なるスキ�`マのデ�`タ鯉�{でコケる
そこは怎を哈っ�らないでほすい

Amazon ESに鯉�{した尖喇
? セッションIDをキ�`にして、インスタンスIDと荷恬した坪否、�lが、いつ�g仏したのかを委燐したかった。
(これをやるのには、CloudWatch Logsからログ�B亊する駅勣がある)
‐CloudTrailのログ／
‐セッションアクティビティログ／
荷恬した坪否
インスタンスID
駅�∀珸v蛍裂の�}��

ログが屎しく函誼できないケ�`ス
? セッション俊�A嶄にEC2の唯峭?壅軟�咾垢襪肇札奪轡腑鵑��K阻しないため、ログが竃薦されず。
(SSH over Session Managerも巷塀サイトの��dの宥り、ログ竃薦はされない)
� SSH over Session Manager
�貧粁: rebootコマンド
和粁: shutdownコマンド

‐歌深／SSH over Session Managerの俊�A��撹
macOS 10.14.2
python 3.8.2
aws cli 2.0.12
(1.16.12參貧)
session manager
plugin 1.1.61
(1.1.22.0參貧)
Macbook Pro
Internet
AWS Cloud (@Tokyo)
Systems Manager
EC2
ssm agent 2.3.714.0
(2.3.672.0參貧)
IAM
SSH/SCP
aws ssm start
�J�^�J辛
SSHキ�`
AWS
クレデンシャル
Security Group
☆インバウンドル�`ル音勣
Session Manager で SSH/SCPをトンネリングしてEC2に俊�Aする
https://qiita.com/hayao_k/items/78b5bfe030ad8a053e93
Amazon Linux 2
? Security Groupの�_慧は音勣だが、SSHキ�`とAWSクレデンシャル秤�鵑療箍爾�慴�砲覆襦�

やりたかったことは古ねできたかな...
No �_�J�朕 �Y惚 ��坪否
1 僕佚圷IPアドレス崙囮 ? IAMポリシ�`で�S辛したIPアドレス參翌の僕佚圷IPアドレスからAWSマネ�`ジメントコンソ�`ルにログインしても
畠ての荷恬に�慙泙�覆い燭瓠▲▲�札�慙泪┘薊`となり、あらゆる荷恬ができない。(MFA�O協すらできない)
2 MFA崙囮 ? �S辛された僕佚圷IPアドレスからAWSマネ�`ジメントコンソ�`ルにログインしても、MFAを嗤�浸�靴謄蹈哀ぅ鵑靴討�
ないとMFA�O協參翌の荷恬に�慙泙�覆い燭瓠▲▲�札�慙泪┘薊`となり、EC2荷恬ができない。
(スイッチロ�`ルもエラ�`となる)
3 SSH俊�A崙囮 ? EC2の荷恬はSession Manager�U喇で�g仏するため、Security GroupでSSH宥佚を�S辛しない。
そのため、EC2に��してSSH俊�Aしても詳倦される。
また、仝SSH over Session Manager々によるSSH俊�Aは、EC2に俊�AするためのSSH�I、またAWS CLIコマンド
での荷恬�慙泙里△�IAMユ�`ザのアクセスキ�`秤�鵑魘匹気覆韻譴弌▲蹈哀ぅ鵑任④覆ぁ�
4 スイッチロ�`ルによる�慙渣酉� ? MFAを旋喘して、�S辛された僕佚圷IPアドレスからAWSマネ�`ジメントコンソ�`ルにログインし、スイッチロ�`ルしない
とEC2の荷恬�慙泙�覆い燭瓠▲▲�札�慙泪┘薊`となり、EC2荷恬ができない。
(EC2セッション�_兵やマシンの軟��/唯峭がエラ�`となる)
5 タグによるEC2荷恬崙囮(おまけ) ? スイッチロ�`ル瘁、EC2のリソ�`スタグに仝env: dev々と�O協されていないマシンには、セッション�_兵や軟�嗟Ｖ垢任�
ない。リソ�`スタグが原嚥されているEC2の荷恬は辛嬬です。
6 荷恬ログ函誼とログ個ざん契峭＠ Session Manager�U喇のセッション�_兵/セッション�K阻でS3バケットとCloudWatch Logsにログが函誼された。
しかし、セッション俊�A嶄に唯峭/壅軟�咾鯰个Δ肇蹈阿��hされない。恷�K議には、EC2の軟�咾藩Ｖ�慙泙鮓錦襪掘�
セッション嶄に唯峭/壅軟�咾鬚靴覆み\喘とした。(逗扉の貨)
スイッチ喘IAMロ�`ルにセッションアクティビティに�vする�慙泙鮓錦襪靴討い覆い燭瓠▲蹈惟O協を�筝釮任④覆ぁ�
また、S3およびCloudWatch Logsの�慙泙鮓錦襪靴討い覆い燭瓠▲蹈阿硫燐佞�茲啗弔兇鵑�任④覆ぁ�
7 �O�イベントのSlack宥岑 � CloudWatch EventsでCloudTrailのログを喘いて、AWSコンソ�`ルログインとセッション�_兵のイベントをSlack
宥岑した。

Slack宥岑にChatbotを�してみた
? �欒屬疎笋挿zんでたので、4/２２にGAしたChatbotでConsoleLoginとStartSessionを宥岑してみようか。
ついに栖た� AWS Chatbot が匯違巷�_(GA)になりました� Slack�B亊が�辰蠅泙坑�
https://dev.classmethod.jp/articles/aws-chatbot-generally-available/

Chatbotで�B亊できるサ�`ビスはまだ�協議
? StartSessionは、Systems Managerに�輝したが、ConsoleLoginは��鬉靴討い覆�辰拭�
AWS Chatbotで��gにSlack宥岑!!&宥岑箭いろいろ
https://qiita.com/hayao_k/items/529539bbb07736ea0f41
Amazon SNS SlackChatbot
CloudFormation
CodeBuild CodeCommit CodeDeployCodePipeline
AWS Config Systems
Manager
Security HubGuardDuty
Alarm
Event
AWS Health
Billing and Cost
Management
セキュリティ
�O�宀

メッセ�`ジ何のカスタマイズはできない
? ChatbotでSlack宥岑で�O協できる�朕は參和の宥りで、メッセ�`ジ何をカスタマイズできない。
＊�O協の��
?ログ��h �C オプション
(Amazon CloudWatch Logsにログを�k佩する)
＊Slackチャネル
?チャネルタイプ (パブリック、プライベ�`ト)
?プライベ�`トチャネルID
＊アクセス�S辛
?IAMロ�`ル
＊宥岑 �C オプション
?SNSトピック
- リ�`ジョン
- トピック
トライアンドエラ�`の火此ね...

しっかりとLambdaのお弊�になりました
? CloudWatch Events�U喇でのSlack�B亊では、燕幣したい�朕をカスタマイズするにはLambdaが駅勣でした。
(Chatbotを聞うことでLambda�v方の砿尖しなくて措いはならないですよね、そりゃそ�`だｗ)
AWSのメンテナンス秤�鵑�Slackに宥岑する
https://qiita.com/hayao_k/items/a4a0e415e86de6cd6af7
CloudTrail LambdaEvent
Slack
イベント宥岑
セキュリティ
�O�宀
Slack宥岑

ログイン枠リ�`ジョン��}
? awsRegionがばらつくため、畠リ�`ジョンでEventsとLambdaをセットしないと勣周が�困燭擦覆ぁ�
�^肇7晩蛍のConsoleLoginをAmazon ESで�碧�靴申Y惚
(CloudTrailログはサブスクリプションフィルタで誘秘)

まとめ
? Amazon ESで��v蛍裂すると謹くの�櫃鼎④�辰蕕譴襦�
(コスト肝及)
? トラブルシュ�`トでトライアンドエラ�`に日かされた。でも�Sしいw
(SNS�U喇でメ�`ルは曙くのにSlack宥岑が栖ないとか...)
? ログ�B亊にLamdbaは之かせないと個めて�g湖した。

☆ ウェビナ�`云�では�B初できなかった�O協について
Appendixとして、參週のスライドで�B初しています。
暴
峻さまの�I�佞砲�い董∈里�里�曚冒△討襪釆劼い任后�

コンテンツ
? �O協したIAMポリシ�`
? SSH over Session Managerの�O協圭隈
? サブスクリプションの個俐圭隈
? Slack宥岑に旋喘したLambdaの�O協
? CloudWatch Eventsのイベントパタ�`ン
? 歌深にしたURL鹿

IAMグル�`プに護り輝てるIAMポリシ�`(1/5)
? AWSコンソ�`ルログインを崙囮する仝must-mfalogin々のIAMポリシ�`の�O協坪否になります。
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ListMFADevices＾
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"<�S辛したい僕佚圷IPアドレス1>/32",
"<�S辛したい僕佚圷IPアドレス3>/32"
]
}
}
},

{
"Effect": "Allow",
"Action": [
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:CreateVirtualMFADevice",
"iam:DeactivateMFADevice",
"iam:ChangePassword",
"iam:CreateLoginProfile",
"iam:DeleteLoginProfile",
"iam:GetLoginProfile",
"iam:UpdateLoginProfile＾
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
]
}
}
},

{
"Effect": "Deny",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::１２３４５６７８９０１２:role/switch-dev-role",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
]
}
}
},

{
"Effect": "Deny",
"NotAction": [
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ListMFADevices",
"iam:UpdateLoginProfile"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}

{
"Effect": "Deny",
"Action": [
"iam:UpdateLoginProfile"
],
"NotResource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}

IAMロ�`ルに護り輝てるIAMポリシ�`(1/4)
? スイッチ瘁の恬�I喘ロ�`ルに原嚥した仝allow-dev-ec2々のIAMポリシ�`の�O協坪否になります。
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/env": ￣dev"
}
}
},
軟�咾藩Ｖ慌掀��苗椶�EC2を
リソ�`スタグで崙囮するための
Conditionを�O協しています。
仝env々というキ�`が仝dev々と
なっているマシンのみ荷恬辛嬬。

{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ssm:GetConnectionStatus",
"ssm:DescribeSessions",
"ssm:DescribeInstanceProperties"
],
"Resource": "*＾
},

{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": ＾dev"
}
}
},
軟�咾藩Ｖ慌掀��苗椶�EC2を
リソ�`スタグで崙囮するための
Conditionを�O協しています。
仝env々というキ�`が仝dev々と
なっているマシンのみ荷恬辛嬬。

{
"Effect": "Allow",
"Action": "ssm:TerminateSession",
"Resource": "arn:aws:ssm:*:*:session/${aws:username}-*"
}

EC2に護り輝てるIAMポリシ�`
Session Manager喘のカスタムIAMインスタンスプロファイルを恬撹する
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-create-iam-instance-profile.html
"ssm:DescribeAssociation"
"ssm:GetDeployablePatchSnapshotForInstance"
"ssm:GetDocument"
"ssm:DescribeDocument"
"ssm:GetManifest"
"ssm:GetParameters"
"ssm:ListAssociations￣
"ssm:ListInstanceAssociations"
"ssm:PutInventory"
"ssm:PutComplianceItems"
"ssm:PutConfigurePackageResult"
"ssm:UpdateAssociationStatus"
"ssm:UpdateInstanceAssociationStatus"
"ssm:UpdateInstanceInformation＾
"ec2messages:AcknowledgeMessage"
"ec2messages:DeleteMessage"
"ec2messages:FailMessage"
"ec2messages:GetEndpoint"
"ec2messages:GetMessages"
"ec2messages:SendReply￣
"cloudwatch:PutMetricData＾
"ec2:DescribeInstanceStatus＾
"ds:CreateComputer"
"ds:DescribeDirectories＾
"ssmmessages:CreateControlChannel"
"ssmmessages:CreateDataChannel"
"ssmmessages:OpenControlChannel"
"ssmmessages:OpenDataChannel＾
"logs:CreateLogGroup"
"logs:CreateLogStream"
"logs:DescribeLogGroups"
"logs:DescribeLogStreams"
"logs:PutLogEvents＾
"s3:GetBucketLocation"
"s3:PutObject"
"s3:GetObject"
"s3:GetEncryptionConfiguration"
"s3:AbortMultipartUpload"
"s3:ListMultipartUploadParts"
"s3:ListBucket"
"s3:ListBucketMultipartUploads"
? EC2に原嚥した仝AmazonEC2RoleforSSM(�峭嚠協)々のIAMポリシ�`で�S辛されているActionになります。
仝AmazonSSMManagedInstanceCore
(書瘁の容�X)々では、S3とCloudWatch
Logsへのログ竃薦に駅勣なIAMアクセス
�慙泙�磴蠅覆ぁ�俿読�硫新�

SSH over Session Managerの�O協
$ brew install awscli
$ aws --version
aws-cli/2.0.12 Python/3.8.2 Darwin/18.2.0 botocore/2.0.0dev19
$ aws configure --profile test_ssm_user
AWS Access Key ID []: <アクセスキ�`を秘薦>
AWS Secret Access Key []: <シ�`クレットアクセスキ�`を秘薦>
Default region name [ap-northeast-1]: ap-northeast-1
Default output format [None]:
$ curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
$ unzip sessionmanager-bundle.zip
$ sudo ./sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
$ session-manager-plugin --version
1.1.61.0
$ vi /Users/XXXXXXX/.ssh/config
# SSH over Session Manager
host i-* mi-*
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p¨￣
$ cd /Users/XXXXXXX/Downloads
$ chmod 600 ssm_test.pem
$ ssh -i ~/Downloads/ssm_test.pem ec2-user@i-0d624444444444 -v
�
�
�
∠
? �AWS CLI��襦□撻�譽妊鵐轡礇誑O協、�プラグイン��襦□�SSH�O協、⊥SSHキ�`塘崔の�に�O協します。
⊥

サブスクリプションフィルタ個俐圭隈(1/7)
? 恷兜に恬撹したサブスクリプションフィルタで伏撹されたLambda�v方からコ�`ドをコピ�`しておきます。

? ElasticsearchのIndex兆を協�xしている�のcwlを販吭のインデックス兆に�筝釮靴泙后�
�
�

? 仟�でLambda�v方を恬撹します。

? �v方兆(販吭でOK)、ランタイム(Node.js 10.x)で匯から�v方を恬撹します。
�
�
�

? インデックス兆�筝釮靴織芥`ドを�Nり原けます。

? CloudWatch Logsの2つ朕のロググル�`プをトリガ�`として弖紗します。
�
�
�
∠

? �O協隠贋すれば頼阻です。CloudWatch Logs�箸皀汽屮好�螢廛轡腑鵐侫�襯燭�気譴討い襪呂困任后�

Slack宥岑に旋喘したLambdaの�O協(1/8)
? 仟�でLambda�v方を恬撹します。

? 仝cloudwatch-alarm-to-slack-python々の�O��蹐鰓O協します。
�
�

? WebhookURLを圧催晒しない��呂蓮∋伃承弔�Lambdaアクセス�慙泙�IAMロ�`ルを恬撹します。

? Slackのincoming Webhookの�O協から函誼したURLを�h廠�篳�(WEBHOOK_URL)に�O協します。
SlackのWebhook URL函誼返�
https://qiita.com/vmmhypervisor/items/18c99624a84df8b31008
� �

? 參和、AWSコンソ�`ルログインの��呂�Pythonコ�`ドになります。
import json
import os
import logging
from urllib.request import Request, urlopen
from urllib.error import URLError, HTTPError
logger = logging.getLogger()
logger.setLevel(logging.INFO)
def lambda_handler(event, context):
webhook_url = os.environ['WEBHOOK_URL']
message = 'AWSコンソ�`ルログインを�返�靴泙靴拭�'
slack_message = {
'username': 'AWS Console Login Event Notification',
'icon_emoji': ':logo_amazon_aws:',
'text': message,
'attachments': [
{
'fallback': 'AWS Console Login Event Description.',
'color': 'good',
'title': event['detail']['eventType'],
｀title_link¨: https://ｘｘｘｘｘｘｘｘｘｘ',

'fields': [
{
'title': 'Account ID',
'value': event['account'],
'short': True
},
{
'title': 'Region',
'value': event['detail']['awsRegion'],
'short': True
},
{
'title': 'Event Time',
'value': event['detail']['eventTime'],
'short': True
},
{
'title': 'User Name',
'value': event['detail']['userIdentity']['userName'],
'short': True
},
{
'title': 'Source IP Address',
'value': event['detail']['sourceIPAddress'],
'short': True
},
{
'title': 'MFA Used',
'value': event['detail']['additionalEventData']['MFAUsed'],
'short': True
},

{
'title': 'Auth Results',
'value': event['detail']['responseElements']['ConsoleLogin'],
'short': True
}
]
}
]
}
req = Request(webhook_url, json.dumps(slack_message).encode('utf-8'))
try:
response = urlopen(req)
response.read()
logger.info("Message posted.")
except HTTPError as e:
logger.error("Request failed: %d %s", e.code, e.reason)
except URLError as e:
logger.error("Server connection failed: %s", e.reason)

? �v方コ�`ドに�Nり原けて隠贋します。

CloudWatch Eventsのイベントパタ�`ン(1/2)
? CloudWatch Eventsのル�`ルを恬撹する�Hにタ�`ゲットに恬撹したLambda�v方を峺協します。
�
�

CloudWatch Eventsのイベントパタ�`ン(2/2)
? ル�`ルの兆念(販吭でOK)を秘薦すれば頼阻になります。

‐歌深／ ConsoleLoginのサンプルログ(CloudTrail)
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDATCE2DIFWFQUSJBAGB",
"arn": "arn:aws:iam::123456789012:user/h_hibino",
"accountId": ＾123456789012",
"userName": ＾h_hibino"
},
"eventTime": "2020-06-23T23:55:18Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": ＾ap-northeast-1",
"sourceIPAddress": ＾xxx.xxx.xxx.xxx",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://us-east-2.console.aws.amazon.com/console/home?region=us-east-2&state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "Yes"
},
"eventID": "907fcb50-2dbf-4a55-b562-e9315a86511c",
"eventType": "AwsConsoleSignIn",
"recipientAccountId": "210776572268"
}

‐歌深／StartSessionのサンプルログ(CloudTrail)
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATCE2DIFWL3AYFWGB5:h_hibino",
"arn": "arn:aws:sts::210776572268:assumed-role/Dev_Switch_Role/h_hibino",
"accountId": ＾123456789012",
"accessKeyId": ＾xxxxxxxxxxxxxxxxxxxxxxxx",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATCE2DIFWL3AYFWGB5",
"arn": "arn:aws:iam::123456789012:role/Test_Switch_Role",
"accountId": "123456789012",
"userName": ＾Dev_Switch_Role"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "true",
"creationDate": "2020-05-22T05:15:32Z"
}
}
},
"eventTime": "2020-05-22T05:18:33Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "StartSession",
"awsRegion": ＾ap-nourtheast-1",
"sourceIPAddress": ＾xxx.xxx.xxx.xxx",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.776 Linux/4.9.184-0.1.ac.235.83.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.252-b09 java/1.8.0_252 vendor/Oracle_Corporation",
"requestParameters": {
"target": "i-0d622f76f722de6b1"
},
"responseElements": {
"sessionId": ＾h_hibino-05593fa2edf884c0f",
"tokenValue": "Value hidden due to security reasons.",
"streamUrl": "wss://ssmmessages.us-east-2.amazonaws.com/v1/data-channel/test_hibino-05593fa2edf884c0f?role=publish_subscribe"
},
"requestID": "1ff9865a-3342-4ed2-a524-36cbf932dd81",
"eventID": "805d1591-56ff-473f-bbe0-d8a27fe9fb6b",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": ＾123456789012"
}

歌深にしたURL鹿
IAMユ�`ザにMFA�O協を�崙するにあたりiam:ListUsersが駅�では�oくなった�
http://blog.serverworks.co.jp/tech/2019/04/02/mysecuritycredentials/
IAMアカウントをIPアクセス崙�するときの廣吭泣
https://dev.classmethod.jp/articles/iam-account-ipaddress-restriction/
Switch Roleを旋喘して、揖匯アカウントでRoleを俳り紋える
https://techblog.lclco.com/entry/2018/10/31/091837
AWS リソ�`スへのアクセスの崙囮
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_tags.html
インスタンスへのユ�`ザ�`セッションアクセスを崙囮する
https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-restrict-access.html
SSM セッションマネ�`ジャ�`でサ�`バ�`貧の荷恬ログを函誼
https://dev.classmethod.jp/articles/recording_session_logs_via_ssm/
AWS Systems Manager Session Managerのシェル荷恬をログ竃薦する
https://dev.classmethod.jp/articles/log-ssm-session-manager-for-shell-access-activity/#toc-
Session Manager を宥して SSH 俊�Aを嗤�燭砲垢�
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-getting-started-enable-ssh-connections.html
AWS Systems Manager セッションマネ�`ジャ�`のロク?竃薦�O協�筝釮鰆届泙垢�
https://ceblog.mediba.jp/post/178915482142/
インスタンスタグに児づいてアクセスを崙�する
https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-examples.html

際際滷

‐ログ蛍裂茶膿氏／セッションアクティビティログは聞えるのか

Recommended

More Related Content

What's hot (20)

More from Hibino Hisashi (19)

‐ログ蛍裂茶膿氏／セッションアクティビティログは聞えるのか