OktaでSAMLしているユーザーのGuardDuty検出結果がどのようなデータになるか確認してみた

OktaでSAMLしているユーザーのGuardDuty検出結果がどのようなデータになるか確認してみた

SAMLを利用している環境でGuardDutyのFindingsでユーザー情報をどのように取得するか確認しました。PrincipalIdを分割して取得する必要があります。
#Amazon GuardDuty
#AWS
#Okta
#SAML
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2024.03.26

こんにちは、臼田です。

みなさん、GuardDutyで脅威検出してますか?(挨拶

今回は、GuardDuty Findingsの詳細を確認していくシリーズです。SAMLで利用しているユーザーの情報をGuardDutyがどのように拾ってくるかを確認します。

概要

GuardDutyのFindingsでは、IAMタイプなどのAPI実行ユーザーの情報を必要とするものがあります。インシデントがあった際、その操作者のアイデンティティを確認することができます。

しかし、一口にアイデンティティといっても、AWS上ではIAM UserとIAM Roleなどがあり、さらにIAM Roleの場合には人が利用したりサービスが利用したり、同じRoleが複数のエンティティから利用されたりするため特定の個人に紐づけられないことがあるなど、バラエティがあります。

というわけで、今回はOktaを利用した場合にGuardDuty上ではどのようにアイデンティティを取得するのか確認してみました。

ちなみにOktaとのSAML連携は事前にされている状態から始めます。Oktaとの連携は以下のブログやこのあたりのドキュメントを参考にしてください。

やってみた

まずOktaのユーザーでマネジメントコンソールにアクセスして、以下のブログなど適当なGuardDutyの検出を出します。

しばらくすると検出するので確認してみましょう。詳細値は置き換えていますが、マネジメントコンソール上ではUser nameの値がIAM Role名となっているため、共通のIAM Roleを利用している場合には操作者を特定できません。一方でPrincipal IDはコロン以降にOktaユーザーのメールアドレスが付加されているため、こちらを用いれば適切に操作者を識別できそうです。

Findingsのjsonデータは以下のようになっています。

    "Resource": {
      "AccessKeyDetails": {
        "AccessKeyId": "ASIAXXXXXXXXXXXXXXXX",
        "PrincipalId": "AROAXXXXXXXXXXXXXXXXX:test-user@example.com",
        "UserName": "okta-admin-role",
        "UserType": "AssumedRole"
      },
      "ResourceType": "AccessKey"
    },

つまりResource.AccessKeyDetails.PrincipalIdを取得してあげればOKということですね。必要に応じてコロン以降だけ抽出するといいでしょう。

おまけ: CloudTrailのログ

CloudTrailではGuardDutyと違うフォーマットになっていますので一緒に確認してみます。

jsonでは以下のようになっています。

    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAXXXXXXXXXXXXXXXXX:test-user@example.com",
        "arn": "arn:aws:sts::999999999999:assumed-role/okta-admin-role/test-user@example.com",
        "accountId": "999999999999",
        "accessKeyId": "ASIAXXXXXXXXXXXXXXXX",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAXXXXXXXXXXXXXXXXX",
                "arn": "arn:aws:iam::999999999999:role/okta-admin-role",
                "accountId": "999999999999",
                "userName": "okta-admin-role"
            },
            "attributes": {
                "creationDate": "2024-03-11T12:46:55Z",
                "mfaAuthenticated": "false"
            }
        }
    },

通常IAM Roleのユーザーを確認する場合にはsessionContext.sessionIssuer.userNameを確認していきますが、そもそもsessionContext内は活用できません。principalIdをGuardDutyと同じようにコロン以降だけ抽出することになります。

まとめ

SAML利用時にGuardDuty検出結果がどのようになるか確認しました。

IAMの種類が色々ある場合にはそれぞれのリソースタイプに合わせて値を抽出しましょう。

Share this article

facebook logohatena logotwitter logo

関連記事

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

User avatar
臼田佳祐
2024.10.29
[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

User avatar
べこみん
2024.10.27
Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

User avatar
臼田佳祐
2024.10.22
[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.