[新サービス] 外部 SaaS の監査ログなどを AWS で統合管理出来る AWS AppFabric を使ってみた

[新サービス] 外部 SaaS の監査ログなどを AWS で統合管理出来る AWS AppFabric を使ってみた

Clock Icon2023.06.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

いわさです。

今朝、新サービス AWS AppFabric に関するアナウンスがありました。

No Code とか SaaS というキーワードがあって、AppFlow 的なやつか?と最初思ったのですが全然違いました。
外部サービスの監査ログを AWS へ統合させるサービスのようです。

サービス概要

AWS AppFabric は外部 SaaS の監査ログなどを AWS に集約させるためのマネージドサービスです。
いくつかサポートされている SaaS サービスがあって、それらのそれぞれのセキュリティログを Amazon S3 あるいは Kinesi Data Firehose へ取り込みを行うことが出来ます。

What is AWS AppFabric? - AWS AppFabric より

取り込みフォーマットを指定出来て、OCSF に正規化するか、JSON または Apache Parquet が利用可能です。

AWS 上に取り込んだあとにセキュリティツールと連携させてね、という使い方を想定しているようです。
他のセキュリティツールに連携させることが出来るという点もありますが、AppFabric の機能としても電子メールアドレスを使ってユーザーアクセス状況を一元管理出来るようになります。

本日時点でサポートされている外部アプリケーションは以下です。

  • Asana
  • Atlassian Jira suite
  • Dropbox
  • Google Workspace
  • Microsoft 365
  • Miro
  • Okta
  • Slack
  • Smartsheet
  • Webex by Cisco
  • Zendesk
  • Zoom

監査ログなどのエンタープライズ向け機能にアクセスする関係で、サービスごとに一定以上のプランが必要だったりします。
例えば、Slack であれば Enterprise Grid が必要で、Microsoft 365 であれば Enterprise のいずれかのプランが必要とのこと。

詳細は以下からご確認ください。

Supported applications - AWS AppFabric

Generative AI 関係あるのか?

アナウンスには次のように Amazon Bedrock などの生成 AI に関連した記述がありました。

  • employees can complete everyday tasks faster using generative artificial intelligence (AI).
  • The AppFabric's generative AI feature, powered by Amazon Bedrock, will automatically perform actions or generate insights and content across applications and return results where the end user is working.

ただ、以下の公式ドキュメントに記述がありますが、本日時点ではまだそれらに関する機能を利用することは出来ないようです。マネジメントコンソール上も確認が出来ませんでした。

Automatically facilitate tasks across applications with generative AI, soon.

What is AWS AppFabric? - AWS AppFabric より引用

機能が公開されてみないとなんともという感じがしますが、おそらく利用者が AI に自然言語で質問をして、インサイトを回答してくれるような QuickSight Q みたいな感じなのではないかなと予想していますが、どうでしょうかね。

なお、この機能に関して Early Access をリクエストする場合は、下記に案内がありますのでご確認ください。

リージョン

利用可能なリージョンは以下の 3 つです。

  • バージニア北部
  • 東京
  • アイルランド

US がバージニアだけで、東京は使えるのか。ほう。

料金

料金がちょっと難しいのですが、組織のユニークユーザーという概念を中心に料金計算するようです。

例えば組織に 10 人のユーザーがいて、その 10 人で様々な SaaS を使っているとします。
SaaS の数に関わらず、ユニークユーザー数 * 3 ドル/月 という計算になります。

※厳密には上記は最大 30 件のアプリケーションまでとなっていて、それを超える場合は追加料金が発生します。

Microsoft 365 と接続してみた

今回は 東京リージョンで Microsoft 365 からの取り込み構成を行ってみました。

残念ながら、私の環境では実際に監査ログが出力されるまで時間が必要なのでログの内容まではまだ確認出来ていないのですが、設定手順の流れについてはわかると思います。
設定自体は確かに簡単で SaaS ごとにクライアントアプリケーション構成作って認証させるだけです。AppFlow とかと同じです。

流れとしては、最初だけ AppFabric の初期設定(バンドル作成)を行い、後は必要な数だけ外部 SaaS の接続設定と、取り込み設定を行います。

バンドルを作成

東京リージョンで、AWS のサービスメニューから AWS AppFabric を選択します。

初期状態では次のようにバンドルを作成するところから必要になります。

バンドルといっても設定するのは KMS キーの設定とタグくらいです。
タグは後から変更出来ますが、KMS キーを変更する場合は一度バンドルを削除する必要があるのでご注意ください。

なお、バンドルは 1 つまで作成可能となっており、かつリージョン毎に管理されるので、東京リージョンでバンドルを定義していても、バージニア北部リージョンで AppFabric を使う場合は別途定義から必要になります。

アプリケーション接続を作成

App Authorization を新規作成します。
前述のようにサポートされているアプリケーションが決まっていて、この中から選択する形となります。

Microsoft 365 の E5 ライセンスを持っていたので、今回は Microsoft 365 を選択してみることにしました。

Microsoft 365 の場合、必要な情報はテナント ID、クライアント ID、クライアントシークレットです。

Microsoft 365 ライセンスを有する Azure AD テナントに Azure ポータルからアクセスし、アプリの登録を行います。

リダイレクト URI は東京リージョンの場合は「https://ap-northeast-1.console.aws.amazon.com/appfabric/oauth2」を指定します。

AppFabric からのアクセス許可する範囲を定義します。
公式ドキュメントに従って次の内容で設定しました。

最後に、AppFabric 側に登録する情報を取得します。

AppFabric 側で取得した情報を入力します。
Tenant name は連携アプリ一覧で表示される名称なので、管理しやすい任意の名前で良さそうです。

設定を行うと Microsoft 365 の認証が行われ、アクセス許可を承諾します。

認可に成功すれば次のようにステータスが Connected の Authorizations リソースが作成されます。
失敗した場合は Pending などのステータスになりますので、その場合はここからリソースを選択して再構成あるいは再接続操作を行ってください。

取り込みを設定

Authorization が構成出来たら、AWS への取り込みを設定します。
ここでは Microsoft 365 の監査ログを取り込みたいと思います。

ここで必要な設定は取り込み元の SaaS サービス(App authorization)の選択と、送信先の設定です。
送信先は Amazon S3 あるいは Amazon Kinesis Data Firehose が選択出来ます。

今回は Amazon S3 の新規バケットで設定してみました。
この送信先設定時にフォーマットの設定を行うことが出来ます。

また、送信先は複数設定することが可能です。

上記 S3 バケットにアクセスしてみると、新しいバケットが作成されています。
取り込みによって指定したフォーマットに変換されて、このバケットに外部 SaaS からの監査ログが取り込まれる形ですね。

Microsoft 365 の場合は Microsoft Purview から事前に監査ログ出力を有効化しておく必要があるのですが、私はまだ有効化していなかったので有効化しました。

ただし、Microsoft 365 で監査ログ出力が開始されるまで 24 ~ 48 時間かかりそうなので、出力後に S3 バケットへの出力内容を改めて確認してみたいと思います。

なお、Security Lake へ連携する場合は別途 AWS Glue テーブルを作成し、Security Lake でカスタムソースを作成する流れになります。
手順は以下に記載されています。取り込めたらこのあたりも試してみたいと思います。

さいごに

本日は、新サービスの AWS AppFabric を、一旦取り込み出来るところまで構成してみました。

残念ながら実際に転送された監査ログについてはまだ確認出来ていませんが、確認出来たらこちらに追記あるいはユーザーアクセスの使い方含めて別記事で紹介したいと思います。
まずは、SaaS 管理者であれば比較的に簡単に統合設定までは出来ることが確認出来たのではないでしょうか。

Security Lake に統合して、先日ちょうど紹介した OpenSearch に連携してなどすると外部 SaaS の監査ログも含めて統合管理出来るのでこれはなかなかおもしろいなと思いました。

生成 AI 関連の機能はまだ全然使い勝手わからないですが、こちらも早くリリースされてほしいですね。使ってみたい。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.