【セキュアアカウント切り戻し手順】Amazon EventBridge通知設定の無効化手順のご案内
当エントリではクラスメソッドメンバーズが提供しているセキュアアカウントサービスにてAmazon EventBridge通知設定の無効化の手順についてご案内いたします。
セキュアアカウントとは
クラスメソッドでは、セキュリティに関するベストプラクティスをまるっと施した状態のAWSアカウントをお客様に提供しております。
クラスメソッドメンバーズご利用の全てのお客様がご利用可能ですので、この機会にご検討ください。
セキュアアカウントのアーキテクチャ
セキュアアカウントでは下記の設定が施されています。
各設定の詳細は下記記事や仕様書をご参照ください。
今回の切り戻し対象のサービス
今回はセキュアアカウントにて有効化されているAmazon EventBridge通知設定の切り戻し手順を紹介いたします。
Amazon EventBridge通知設定とは
詳細な説明はこちら
セキュアアカウントではアカウント内の脅威を検知してくれるセキュリティサービス(具体的にはGuardDutyやSecurity Hub、IAM Access Analyzer)を有効化にしていますが、初期状態だとその脅威はアカウント内のみ表示されます。
ユーザーはアカウントにログインしないとその脅威に気付きません。脅威はすぐさま発見し対応出来るようにする必要があります。
本設定を有効化していると、各イベントの検知をメールで受け取ることができるため迅速に対応に移ることができます。
設定方法は以下をご覧ください。
料金について
前提
オプトイン無効化作業
セキュアアカウント設定の切り戻し作業を行う際は、メンバーズポータルサイトのセキュア設定をご確認いただき、オプトインが有効化の場合は無効化にしていただく必要があります。
メンバーズポータルサイトから対象のアカウントIDを選択します。
下記画面から、メンバーズサービス設定を選択します。
新しくタブが開かれるので、セキュリティ設定を選択します。
セキュア設定項目にて、「Amazon EventBridge通知設定」の項目を無効化にて保存します。
無効化手順
メンバーズ仕様書のAmazon EventBridge有効化に記載されているリソースを削除していきます。
削除対象リソース
- IAMロール
- cm-alert-eventrule-role
- cm-alert-forward-eventrule-role
- cm-alert-statemachine-role
- AWS Step Functionsステートマシン
- cm-sharping-security-alert-machine(東京リージョン)
- Eventルール
- cm-securityhub-alert-rule(東京リージョン)
- cm-guardduty-alert-rule(東京リージョン)
- cm-accessanalyzer-alert-rule(東京リージョン)
- cm-guardduty-
-alert-rule(東京以外のリージョン) - cm-accessanalyzer-
-alert-rule(東京以外のリージョン)
- Eventバス
- cm-security-alert-aggregator-bus(東京リージョン)
CloudFormation提供の削除対象リソース
- AWS Step Functionsステートマシン
- cm-security-alert-aggregator-bus(東京リージョン)
- Eventルール
- cm-security-alert-mail(slack)-rule(東京リージョン)
- SNS
- トピック
- cm-security-alert-mail-topic(東京リージョン)
- サブスクリプション
- 登録したメールアドレス(東京リージョン)
Eventバスの削除
CloudShellを開き以下コマンドを入力してください(CloudShellの使い方はこちら)。
aws events delete-event-bus --name cm-security-alert-aggregator-bus --region ap-northeast-1
下記の削除が完了します。
- Eventバス
- cm-security-alert-aggregator-bus(東京リージョン)
Eventルール
aws events list-targets-by-rule --rule cm-securityhub-alert-rule --region ap-northeast-1 \ | jq -r '.Targets[].Id' \ | while read -r TARGET_ID do aws events remove-targets --rule cm-securityhub-alert-rule --region ap-northeast-1 --ids "$TARGET_ID" aws events delete-rule --name cm-securityhub-alert-rule --region ap-northeast-1 done
aws events list-targets-by-rule --rule cm-guardduty-alert-rule --region ap-northeast-1 \ | jq -r '.Targets[].Id' \ | while read -r TARGET_ID do aws events remove-targets --rule cm-guardduty-alert-rule --region ap-northeast-1 --ids "$TARGET_ID" aws events delete-rule --name cm-guardduty-alert-rule --region ap-northeast-1 done
aws events list-targets-by-rule --rule cm-accessanalyzer-alert-rule --region ap-northeast-1 \ | jq -r '.Targets[].Id' \ | while read -r TARGET_ID do aws events remove-targets --rule cm-accessanalyzer-alert-rule --region ap-northeast-1 --ids "$TARGET_ID" aws events delete-rule --name cm-accessanalyzer-alert-rule --region ap-northeast-1 done
下記の削除が完了します
- Eventルール
- cm-securityhub-alert-rule(東京リージョン)
- cm-guardduty-alert-rule(東京リージョン)
- cm-accessanalyzer-alert-rule(東京リージョン)
aws ec2 describe-regions --query 'Regions[?RegionName!=`ap-northeast-1`].RegionName' | jq -r '.[]' \
| while read -r REGION
do
# イベントルールに関連するターゲットの削除
aws events list-targets-by-rule --rule "cm-guardduty-${REGION}-alert-rule" --region "${REGION}" \
| jq -r '.Targets[].Id' \
| while read -r TARGET_ID
do
aws events remove-targets --rule "cm-guardduty-${REGION}-alert-rule" --region "${REGION}" --ids "$TARGET_ID"
aws events delete-rule --name "cm-guardduty-${REGION}-alert-rule" --region "${REGION}"
done
aws events list-targets-by-rule --rule "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}" \
| jq -r '.Targets[].Id' \
| while read -r TARGET_ID
do
aws events remove-targets --rule "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}" --ids "$TARGET_ID"
aws events delete-rule --name "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}"
done
done
下記の削除が完了します。
- Eventルール
- cm-guardduty-<region_name>-alert-rule(東京以外のリージョン)
- cm-accessanalyzer-<region_name>-alert-rule(東京以外のリージョン)
AWS Step Functionsステートマシンの削除
aws stepfunctions list-state-machines --region ap-northeast-1 --query "stateMachines[?name=='cm-sharping-security-alert-machine'].stateMachineArn" | jq -r '.[]' \ | while read -r STATE_MACHINE_ARN do aws stepfunctions delete-state-machine --state-machine-arn "$STATE_MACHINE_ARN" --region ap-northeast-1 done
下記の削除が完了します。
- AWS Step Functionsステートマシン
- cm-sharping-security-alert-machine(東京リージョン)
IAMロールの削除
aws iam delete-role-policy --role-name cm-alert-eventrule-role --policy-name cm-alert-eventrule-policy aws iam delete-role --role-name cm-alert-eventrule-role aws iam delete-role-policy --role-name cm-alert-forward-eventrule-role --policy-name cm-alert-forward-eventrule-policy aws iam delete-role --role-name cm-alert-forward-eventrule-role aws iam delete-role-policy --role-name cm-alert-statemachine-role --policy-name cm-alert-statemachine-policy aws iam delete-role --role-name cm-alert-statemachine-role
下記の削除が完了します。
- IAMロール
- cm-alert-eventrule-role
- cm-alert-forward-eventrule-role
- cm-alert-statemachine-role
CloudFormation提供の削除対象リソースの削除
- AWS Step Functionsステートマシン
- cm-security-alert-aggregator-bus(東京リージョン)
- Eventルール
- cm-security-alert-mail(slack)-rule(東京リージョン)
- SNS
- トピック
- cm-security-alert-mail-topic(東京リージョン)
- サブスクリプション
- 登録したメールアドレス(東京リージョン)
上記のリソースについては通知に関連するリソースを完全に削除したいをご参照ください。
【おまけ】再度有効化したい場合
切り戻したセキュア設定を元に戻したい場合、メンバーズポータルサイトから再有効化することが可能です。
設定反映は毎週土曜日午前2時ごろから順次開始されます。
メンバーズポータルサイトから対象のアカウントIDを選択します。
下記画面から、メンバーズサービス設定を選択します。
新しくタブが開かれるので、セキュリティ設定を選択します。
セキュア設定項目にて、「Amazon EventBridge通知設定」の項目を有効化にて保存します。
