【Security Hub修復手順】[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

【Security Hub修復手順】[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

Clock Icon2023.03.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

[ES.5] Elasticsearch domains should have audit logging enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のElasticsearchドメインにおいて、CloudWatch Logsへの監査ログの出力をを有効にしているかをチェックします。

監査ログを有効化するには、Elasticsearch側でロールベースのアクセスコントロールを行うきめ細かなアクセスコントロールを有効にする必要があります。

監査ログを有効にすると以下のユーザーアクティビティを追跡できるようになります(公式ドキュメントからの引用

監査ログは高度にカスタマイズ可能で、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch クラスターでのユーザーアクティビティを追跡できます。デフォルトの設定では、一般的な一連のユーザーアクションが追跡されますが、正確なニーズに合わせて設定を調整することをお勧めします。 トラブルが起きてからエラーログ出力を有効化しては遅いです。さらに再現性がないエラーであった場合、当時のログがないので調査できません。

既存ドメインのきめ細やかなアクセスコントロールが無効の場合、アクセスコントロールの仕組みそのものを変更したうえで監査ログの出力を有効にします。

このように、設定変更による影響が大きく、基本的には監査要件がある場合は有効化を検討してください。

監査要件がない場合は、当該コントロールを抑止済みに変更してください、

修復手順

監査ログを有効化するには、きめ細かなアクセスコントロールが有効である必要があります。

きめ細やかなアクセスコントロールが無効の状態で、監査ログを有効化しようとすると以下のようなエラーが出力され、有効化できません。

まずは、ドメインの詳細からセキュリティタブ>きめ細やかなアクセスコントロールを確認します。いいえであれば無効なので、編集から有効化します。

きめ細やかなアクセスコントロールを有効化するにチェックを入れます。マスターユーザーをIAMを利用するか、Elasticsearch内に作成するかを選択します。

この設定変更はElasticsearchドメインのBlue/Greenデプロイがトリガーされますので、利用されていない時間帯に設定変更することを計画してください。

これで前提条件が整いましたので監査ログを有効化します。

ドメインの詳細からログタブ>CloudWatch Logs>監査ログを確認します。

ステータスが無効になっていると思いますので、有効化をクリックします。

監査ログの設定では、CloudWatch Logsに出力する際のログストリーム名やログ出力に必要となるIAMポリシーをカスタマイズできます。特に要件がなければデフォルトのままで構いません。

有効化すると監査ログの横にロググループのURLが表示されます。

URLをクリックすると、ロググループ内にログストリームが作成され、テストログイベントが出力されていればOKです。

監査ログはAWSコンソールでの設定変更だけでは出力されません。Kibanaにログインして別途監査ログ機能を有効化する必要があります。

KibanaのOpen Distro for Elasticsearch>Securityから

Optional:Configure audit logsを選択し

監査ログを有効化します。

General settingsCompliance settingsは要件に応じて設定変更してください。

すると。CloudWatch Logsのロググループに、監査ログイベントが出力されます。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.