Security Hub の結果アラート (Findings) を EventBridge/SNS 経由でメールに飛ばす
概要 やりたいこと Security Hub から結果アラート (Findings) をメールに飛ばしたい。 全体図 CloudWatch イベント による AWS Security Hub の自動化 流れは Security Hub → EventBridge → SNS → EMail。 SecuritHub : 各サービスからのアラート (Findings) を管理EventBridge :...
View ArticleClik here to view.
AWS Organizations 経由の CloudFormation StackSets のスタックを削除する
概要 やりたいこと Organizations 経由で OU にデプロイした CloudFormation スタックを削除したい。 下記を題材とする。 AWS セキュリティ監視用アカウントからスイッチロールする設定を Organizations からデプロイ スタックリソースの削除方法 削除する方法は2つある。 OU から外れたタイミングで自動削除スタックインスタンス削除時にスタックを削除 OU...
View ArticleClik here to view.
GuardDuty 委任管理アカウントから別アカウントの S3 へ GuardDuty ログをエクスポート
概要 やりたいこと GuardDuty 委任管理者アカウントから別アカウントの S3 バケットへ GuardDuty ログをエクスポートしたい。 過去に全リージョンの GuardDuty ログを東京リージョンの S3 バケットにエクスポートした。 全リージョンの GuardDuty ログを一つの S3 バケットにエクスポートする GuardDuty 委任管理者の指定は以下で行った。 AWS...
View ArticleClik here to view.
AWS IAM Access Analyzer 使ってみる
概要 やりたいこと AWS IAM Access Analyzer を使って外部公開しているサービスを把握したい。 AWS IAM Access Analyzer 外部公開しているサービスが是か非かを確認するサービス。利用料金が無料。 AWS IAM Access Analyzer とは 以下の AWS リソースのみが対象。 Amazon Simple Storage Service...
View ArticleClik here to view.
GuardDuty 委任管理者から特定アカウント・全リージョンの GuardDuty を有効化・マルチアカウント連携
概要 やりたいこと GuardDuty 委任管理者(マスターアカウント)から、以下の条件で 特定のアカウント全リージョンGuardDuty 有効化マルチアカウント連携 GuardDuty 委任管理者がメンバーアカウントの GuardDuty を有効化する方法にコンソールと CLI が存在する。 CLI はディテクター ID、アカウント ID、E...
View ArticleClik here to view.
EventBridge, SNS, Chatbot で AWS Securtiy Hub から検出結果を Slack に飛ばす
概要 やりたいこと Security Hub から、条件を指定して結果アラート(Findings) を Slack に飛ばしたい。 以前はメールに飛ばした。 Security Hub の結果アラート (Findings) を EventBridge/SNS 経由でメールに飛ばす 全体構成 以下の流れ。 Security Hub -> EventBridge -> SNS ->...
View ArticleClik here to view.
Terraform で ALB 用 AWS WAF v2 を構築する
概要 やりたいこと Terraform で ALB 用の AWS WAF v2 を構築したい。 過去に AWS WAF v1 は Terraform で構築した。 ALB 用 AWS WAF v1 (Classic) に Terraform でルール適用する CloudFormation で AWS WAF v2 は構築した。 CloudFormation で AWS WAF v2 に AWS...
View ArticleClik here to view.
Terraform で AWS WAF v2 ログを Kinesis Firehose 経由で Parquet 形式で S3 へエクスポート
概要 やりたいこと Terraform で AWS WAF v2 が出すログを Parquet 形式で S3 にエクスポートする Kinesis を作成したい。 前回の続き。 ALB 用 AWS WAF v2 を Terraform で構築する 過去に Parquet ではないが Kinesis を Terraform で構築した。 Terraform で AWS WAF v1 のログを...
View ArticleClik here to view.
AWS Config で記録されるリソースを限定する
概要 やりたいこと AWS Config にかかる費用が高い。原因は AWS リソースの設定変更が多いため。 AWS Config をなるべく安く使いたい。 AWS Config と AWS Config Rules の関係 AWS Config と AWS Config Rules の簡単紹介。 AWS Config : AWS リソースの設定変更を記録するAWS Config Rules :...
View ArticleClik here to view.
Slack へ Event API で投稿をモニタリング、投稿にアクションする Slack Bot 作成
概要 やりたいこと slackbotを作って、Slackに通知があったら自動でアクションをとりたい。 最終的に AWS アラートに対して色々なアクションを行う Slack Bot を作成したい。 Slack Bot こちらの記事を見ると 5 種類ぐらい作り方があるようだ。 Incoming webhooksSlash commandBot users (RTM API)Bot users...
View ArticleClik here to view.
GuardDuty のアラートをフィルタリング・自動アーカイブし、Slackへ通知されないよにする
概要 やりたいこと Slack に GuardDuty アラートを通知している。 EventBridge, SNS, Chatbot で AWS Securtiy Hub から検出結果を Slack に飛ばすGuardDuty 委任管理者から特定アカウント・全リージョンの GuardDuty を有効化・マルチアカウント連携 問題として、既知の問題ないことが判明しているアラートも Slack...
View ArticleGuardDuty Findings (アラート)を EventBridge でフィルタリングする
概要 やりたいこと GuardDuty アラートを Slack への通知している。 EventBridge + SNS + Chatbot で行っている。 EventBridge, SNS, Chatbot で AWS Securtiy Hub から検出結果を Slack に飛ばす GuardDuty 委任管理者を利用している。 GuardDuty 委任管理者から特定アカウント・全リージョンの...
View ArticleWIP : GCP セキュリティサービス
概要 やりたいこと GCP のセキュリティをちゃんとしたい。 アカウントセキュリティレベルを一旦は目的とする。サービスセキュリティは後回し。AWS の場合とかだと GuardDuty とりあえず有効にしておけとかのレベルのやつ。 GCP と AWS 一番大きいところで、プロジェクトの管理方法。AWS はアカウント1つにプロジェクト1つ、GCP は1つのアカウントに対して複数プロジェクトを作成する。...
View ArticleClik here to view.
Terraform 公式の GCP チュートリアル
概要 やりたいこと Terraform で GCP を操作したい。 下記の Terraform 公式のチュートリアルを行う。 Getting Started with the Google Provider Terraform Terraform 準備 過去に tfenv 経由でインストールした。下記参照。 Terraform 0.12 で EC2 と VPC をたてる または Terraform...
View ArticleTerraform で Cloud Functions をデプロイする
概要 やりたいこと Terraform で CloudFunctions をデプロイしたい。 前回の GCP チュートリアルの続き。 Terraform 公式の GCP チュートリアル CloudFunctions のデプロイ GCP 版 AWS Lambda。デプロイ方法は以下を参考にした。 Terraformを使ってCloudFunctionsのzip化とdeployを行う方法 流れ。...
View ArticleClik here to view.
Terraform で GCP Cloud Run をデプロイする
概要 やりたいこと Terraform を使って GCP の Cloud Run をデプロイする。 Terraform Cloud Run チュートリアル google_cloud_run_service 一番ベーシックなコードだととても短い。 resource "google_cloud_run_service" "default" { name = "cloudrun-srv"...
View ArticleClik here to view.
Terraform で GCP Pub/Sub トリガーのチュートリアル
概要 やりたいこと Cloud Pub/Sub にメッセージが来たことをトリガーに CloudFunctions を実行したい。 以下を参考に Terraform で行う。 Cloud Pub/Sub のチュートリアル Terraform で CloudFunctions のデプロイは前回を参照。 Terraform で Cloud Functions をデプロイする アーキテクチャ...
View ArticleClik here to view.
Terraform で GCP のアラートを Slack 通知する
概要 やりたいこと GCP のアラートを Slack 通知させたい。 Cloud Pub/Sub に送れれば、Cloud Functions 側で Slack WebHook URL をたたえばいい。 Terraform で GCP Pub/Sub トリガーのチュートリアル Terraform Slack Incoming WebHook 通知したい Slack チャンネルの Slack...
View ArticleClik here to view.
Terraform で GCE を構築、Apache へアクセス
概要 やりたいこと Terraform を使って Google Compute Engine (GCE ) を作成する。 また、Apache を建ててアクセスできるようにする。 Terraform GCE Terraform サンプルを参考にやる。 google_compute_instance scratch_disk と service_account を削る。 resource...
View ArticleClik here to view.
Terraform で GCE + LB を構築、 Apache へアクセス
概要 やりたいこと LB + GCE の環境を Terraform で構築する。 前回は GCE のみを構築した。 Terraform で GCE を構築、Apache へアクセス GCP LB 基本的には以下に従ってやっていく。 シンプルな外部 HTTP ロードバランサの設定 Terraform Terraform テンプレートは GCP コンソールに沿った形で分割している。 GCE...
View Article
