CloudTrailを有効化し、コンソール操作のログ取得
CloudTrailを有効化することで、コンソール操作のログを取得することが可能です。
今回は、CloudTrailを有効化する設定について紹介します。
誰が、いつ、どんな設定を行ったかを確認し、不正アクセスの根拠を集めておきましょう。
他にも以下の機能の有効化をお勧めします。
① AWS Configは、構成変更を検知できるので、こちらの有効化もお勧めします
② GuardDutyは、セキュリティ上の脅威を検知してるので、こちらの有効化もお勧めです
CloudTrailの有効化設定
サービスを押すと以下の画面が出るので、管理とガバナンスの箇所の「CloudTrail」を押します。
以下の画面(CloudTrailのダッシュボード)が出るので、「証跡の作成」を押します。
以下の画面が出るんで、証跡名を入力します。
証跡情報を全てのリージョンに適用を「はい」にすれば、全てのリージョンでCloudTrailが有効化されます。
読み込み/書き込みイベント は「すべて」にすると良いです。
APIなどによるリソースの情報の読み込み、書き込みに関するログを取得してくれます。
AWS KMSのイベントを記録する は「はい」が良いです。
KMSは暗号化に関わる機能ですので、KMSに関する動作は全て記録しておくのが良いでしょう。
Log insightsイベント は追加料金が発生するので、使わない場合は「いいえ」です。
AWSアカウントの書き込み管理APIの異常な呼び出しボリュームをキャプチャすると書いてあるので、記載の通り、書き込み系のAPIにて異常な動きがあれば、キャプチャしてくれます。
画面を下にスクロールし、CloudTrailのログを保存するS3のバケットを作成します。
以下の画面の「詳細」を押します。
「詳細」を押すと、以下の表示に変わります。
S3のバケットを作成していなければ、ここでS3バケットの作成ができます。
新しいS3バケットを作成しますか にて「はい」を選択します。
S3バケットにバケット名を入力します。
※ここでは「test」と記載していますが、S3のバケット名はリージョンに関係なく一意な名前にする必要があります。「test」という名のバケット名は使えないので、他のものを使ってください。
SSE-KMSを使用してログファイルを暗号化 は「はい」が良いです。
暗号化する場合は事前にKMSを作っておくと良いです。
ログファイル配置のたびにSNS通知を受け取りますか は「いいえ」にしていますが、必要に応じて「はい」にしてください。
Eメールへのメール通知が増えてめんどくさい人は「いいえ」にしましょう。
画面を下にスクロールすると、タグの設定が可能ですが、不要であれば「作成」を押します。
タグを作っておくと後で、コスト管理時に便利です。
以下の画面が出て、作成した証跡名「test」が表示されることが確認できます。
S3バケットの箇所のバケット名を押すと、S3のダッシュボードに移動します。
以下の画面が表示され、先ほど作成したS3バケット名が見えます。
バケット名を押すと、フォルダが作成されているので、どんどん深く潜るとCloudTrailのログフォルダ・ファイルを確認できます。
まとめ
・CloudTrailを有効化すると、コンソール操作ログを取得できるので、不正アクセス等を追うことができる。
オススメ参考書籍
AWSを初めて学ぶ人、操作する人は以下の書籍が、とっかかり(最初の第一歩)としてお勧めです。
① コンソール操作画面付きで、基礎知識と合わせて、丁寧に設定方法を解説
② AWSシステムを構築する上で基礎となる概念「VPC」、「AZ」、「パブリック/プライベートサブネット」、「ネットワークACL」、「セキュリティグループ」等の解説もある
③ パターン別の設計として、Wordpress(Webサーバ)、MySQL(DBサーバ)を使ったシステム構築等も解説している
初心者には非常に役に立つ解説本となっていますので、一番お勧めします。
以下の書籍もAWSシステムの基礎概念や様々なサービスを紹介しています。
資格取得に向けた問題も掲載されています。
AWSのことはあまり知らない & 資格も取りたいって人向けです
コメント