【Security Hub修復手順】[DocumentDB.4 ] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

【Security Hub修復手順】[DocumentDB.4 ] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2024.08.19

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.4 ] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.4 ] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターが監査ログを Amazon CloudWatch Logs に発行するかどうかをチェックします。クラスターが監査ログを CloudWatch Logs に発行しない場合、コントロールは失敗します。

監査ログを有効にすることで、ログデータのリアルタイム分析や、CloudWatch を使用したアラームの作成、メトリクスの表示を行うことができます。監査および調査要件に応じて有効化を検討してください。

要件にない場合は、本コントロールを抑制済みにしてください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.4」を検索し、タイトルを選択します。
    72F99C1D-ED39-4ABD-9AAF-3D7BA75A4DBB_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    185767A8-7289-49B0-BEFC-C62B5301F698.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 監査ログを有効にしてよいか
    • 機密性の高いデータを保持している場合、設定を変更します。
    • 機密性の高いデータが含まれていない開発環境では、Security Hubの失敗箇所を抑制済みにします。

3. 監査ログの有効化

ログ出力を有効化するためには、以下2つの設定を行う必要があります。

  • パラメータグループでの有効化
  • クラスター設定での有効化

パラメータグループでの有効化

デフォルトのパラメーグループは設定値を編集できません。
そのため、新規でパラメータグループを作成し、それをDocument DBにアタッチします。

  1. Document DBのコンソールから[パラメータグループ]を選択し、[作成]を選択します。
    89428678-C97A-4380-A7AA-1D93AB64AFF7.png

  2. [新しいクラスターパラメータグループ名]と任意で[説明]を入力し、[作成]を選択します。
    7D52BA48-A05A-485F-A9AB-A2071E7B7D15.png

  3. 作成したパラメータグループを選択します。
    B81CDF7C-27A0-4A71-99B0-6EDD9060D7AC_4_5005_c.jpeg

  4. [audit_logs]の項目を選択し、[編集]を選択します。
    33C9639E-5693-419D-958C-080522192C69.png

  5. ログに記録するイベントを任意で指定し、[クラスターパラメータを変更します]を選択します。
    E38B8EA1-9386-4EDC-B81A-C22E52B0ADE6_4_5005_c.jpeg

指定できる値の詳細は下記公式ドキュメントをご参考ください。

https://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing

  1. 値が変更されたことを確認します。
    55667472-F943-43F6-8956-41D360D27149.png

クラスター設定での有効化

  1. 対象のDBクラスターを選択し、[変更]をクリックします。

  2. [クラスターのパラメータグループ]にて、新しく作成したパラメータグループ、[ログのエクスポート]にて[監査ログ]のチェックボックスにチェックを入れ、[続行]を選択します。
    6A8E6FC8-552F-493F-A237-B8DA180C8626.png

F00DADF5-1D4E-4FDA-928F-EB2EF3D08E91_4_5005_c.jpeg

  1. [変更の概要]でクラスターパラメータグループ、監査ログのみ変更になっていることを確認し、[変更をスケジュール]で任意のタイミングを選択し、[変更]を選択します。
    852753B4-59B0-44EA-954C-4D67EF8B2E68.png

※監査ログの有効化はダウンタイムが発生するため、変更適用時間にご注意ください。

4.変更後、[設定]タブにて[CloudWatch ログを有効化済み]がauditになっていることを確認します。
6D6F2869-2C34-48D8-A370-2A7896FD61EE.png

  1. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.