【セキュアアカウント切り戻し手順】Amazon EventBridge通知設定の無効化手順のご案内

【セキュアアカウント切り戻し手順】Amazon EventBridge通知設定の無効化手順のご案内

クラスメソッドメンバーズご利用のお客様に提供しているセキュアアカウントサービスの設定切り戻し手順をご案内いたします。
Clock Icon2023.10.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

当エントリではクラスメソッドメンバーズが提供しているセキュアアカウントサービスにてAmazon EventBridge通知設定の無効化の手順についてご案内いたします。

セキュアアカウントとは

クラスメソッドでは、セキュリティに関するベストプラクティスをまるっと施した状態のAWSアカウントをお客様に提供しております。

クラスメソッドメンバーズご利用の全てのお客様がご利用可能ですので、この機会にご検討ください。

セキュアアカウントのアーキテクチャ

セキュアアカウントでは下記の設定が施されています。

各設定の詳細は下記記事や仕様書をご参照ください。

今回の切り戻し対象のサービス

今回はセキュアアカウントにて有効化されているAmazon EventBridge通知設定の切り戻し手順を紹介いたします。

Amazon EventBridge通知設定とは

詳細な説明はこちら

セキュアアカウントではアカウント内の脅威を検知してくれるセキュリティサービス(具体的にはGuardDutyやSecurity Hub、IAM Access Analyzer)を有効化にしていますが、初期状態だとその脅威はアカウント内のみ表示されます。

ユーザーはアカウントにログインしないとその脅威に気付きません。脅威はすぐさま発見し対応出来るようにする必要があります。

本設定を有効化していると、各イベントの検知をメールで受け取ることができるため迅速に対応に移ることができます。

設定方法は以下をご覧ください。

料金について

前提

オプトイン無効化作業

セキュアアカウント設定の切り戻し作業を行う際は、メンバーズポータルサイトのセキュア設定をご確認いただき、オプトインが有効化の場合は無効化にしていただく必要があります

オプトインが有効化状態では毎週土曜日にてメンテナンスが入り、セキュア設定の状態が維持(上書き)されるため、無効化にする必要がございます。
オプトインが無効化状態では毎週土曜日のメンテナンスが実施されなくなりますが、設定自体はそのままとなるため手動切り戻し作業を行う必要がございます。

メンバーズポータルサイトから対象のアカウントIDを選択します。

下記画面から、メンバーズサービス設定を選択します。

新しくタブが開かれるので、セキュリティ設定を選択します。

セキュア設定項目にて、「Amazon EventBridge通知設定」の項目を無効化にて保存します。

無効化手順

メンバーズ仕様書のAmazon EventBridge有効化に記載されているリソースを削除していきます。

削除対象リソース

  • IAMロール
    • cm-alert-eventrule-role
    • cm-alert-forward-eventrule-role
    • cm-alert-statemachine-role
  • AWS Step Functionsステートマシン
    • cm-sharping-security-alert-machine(東京リージョン)
  • Eventルール
    • cm-securityhub-alert-rule(東京リージョン)
    • cm-guardduty-alert-rule(東京リージョン)
    • cm-accessanalyzer-alert-rule(東京リージョン)
    • cm-guardduty--alert-rule(東京以外のリージョン)
    • cm-accessanalyzer--alert-rule(東京以外のリージョン)
  • Eventバス
    • cm-security-alert-aggregator-bus(東京リージョン)

CloudFormation提供の削除対象リソース

  • AWS Step Functionsステートマシン
    • cm-security-alert-aggregator-bus(東京リージョン)
  • Eventルール
    • cm-security-alert-mail(slack)-rule(東京リージョン)
  • SNS
    • トピック
    • cm-security-alert-mail-topic(東京リージョン)
    • サブスクリプション
    • 登録したメールアドレス(東京リージョン)

Eventバスの削除

CloudShellを開き以下コマンドを入力してください(CloudShellの使い方はこちら)。

aws events delete-event-bus --name cm-security-alert-aggregator-bus --region ap-northeast-1

下記の削除が完了します。

  • Eventバス
    • cm-security-alert-aggregator-bus(東京リージョン)

Eventルール

aws events list-targets-by-rule --rule cm-securityhub-alert-rule --region ap-northeast-1 \
| jq -r '.Targets[].Id' \
| while read -r TARGET_ID
do
  aws events remove-targets --rule cm-securityhub-alert-rule --region ap-northeast-1 --ids "$TARGET_ID"
  aws events delete-rule --name cm-securityhub-alert-rule --region ap-northeast-1
done
aws events list-targets-by-rule --rule cm-guardduty-alert-rule --region ap-northeast-1 \
| jq -r '.Targets[].Id' \
| while read -r TARGET_ID
do
  aws events remove-targets --rule cm-guardduty-alert-rule --region ap-northeast-1 --ids "$TARGET_ID"
  aws events delete-rule --name cm-guardduty-alert-rule --region ap-northeast-1
done
aws events list-targets-by-rule --rule cm-accessanalyzer-alert-rule --region ap-northeast-1 \
| jq -r '.Targets[].Id' \
| while read -r TARGET_ID
do
  aws events remove-targets --rule cm-accessanalyzer-alert-rule --region ap-northeast-1 --ids "$TARGET_ID"
  aws events delete-rule --name cm-accessanalyzer-alert-rule --region ap-northeast-1
done

下記の削除が完了します

  • Eventルール
    • cm-securityhub-alert-rule(東京リージョン)
    • cm-guardduty-alert-rule(東京リージョン)
    • cm-accessanalyzer-alert-rule(東京リージョン)
aws ec2 describe-regions --query 'Regions[?RegionName!=`ap-northeast-1`].RegionName' | jq -r '.[]' \
| while read -r REGION
do
  # イベントルールに関連するターゲットの削除
  aws events list-targets-by-rule --rule "cm-guardduty-${REGION}-alert-rule" --region "${REGION}" \
  | jq -r '.Targets[].Id' \
  | while read -r TARGET_ID
  do
    aws events remove-targets --rule "cm-guardduty-${REGION}-alert-rule" --region "${REGION}" --ids "$TARGET_ID"
    aws events delete-rule --name "cm-guardduty-${REGION}-alert-rule" --region "${REGION}"
  done

  aws events list-targets-by-rule --rule "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}" \
  | jq -r '.Targets[].Id' \
  | while read -r TARGET_ID
  do
    aws events remove-targets --rule "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}" --ids "$TARGET_ID"
    aws events delete-rule --name "cm-accessanalyzer-${REGION}-alert-rule" --region "${REGION}"
  done
done

下記の削除が完了します。

  • Eventルール
    • cm-guardduty-<region_name>-alert-rule(東京以外のリージョン)
    • cm-accessanalyzer-<region_name>-alert-rule(東京以外のリージョン)

AWS Step Functionsステートマシンの削除

aws stepfunctions list-state-machines --region ap-northeast-1 --query "stateMachines[?name=='cm-sharping-security-alert-machine'].stateMachineArn" | jq -r '.[]' \
| while read -r STATE_MACHINE_ARN
do
  aws stepfunctions delete-state-machine --state-machine-arn "$STATE_MACHINE_ARN" --region ap-northeast-1
done

下記の削除が完了します。

  • AWS Step Functionsステートマシン
    • cm-sharping-security-alert-machine(東京リージョン)

IAMロールの削除

aws iam delete-role-policy --role-name cm-alert-eventrule-role --policy-name cm-alert-eventrule-policy
aws iam delete-role --role-name cm-alert-eventrule-role
aws iam delete-role-policy --role-name cm-alert-forward-eventrule-role --policy-name cm-alert-forward-eventrule-policy
aws iam delete-role --role-name cm-alert-forward-eventrule-role
aws iam delete-role-policy --role-name cm-alert-statemachine-role --policy-name cm-alert-statemachine-policy
aws iam delete-role --role-name cm-alert-statemachine-role

下記の削除が完了します。

  • IAMロール
    • cm-alert-eventrule-role
    • cm-alert-forward-eventrule-role
    • cm-alert-statemachine-role

CloudFormation提供の削除対象リソースの削除

  • AWS Step Functionsステートマシン
    • cm-security-alert-aggregator-bus(東京リージョン)
  • Eventルール
    • cm-security-alert-mail(slack)-rule(東京リージョン)
  • SNS
    • トピック
    • cm-security-alert-mail-topic(東京リージョン)
    • サブスクリプション
    • 登録したメールアドレス(東京リージョン)

上記のリソースについては通知に関連するリソースを完全に削除したいをご参照ください。

【おまけ】再度有効化したい場合

切り戻したセキュア設定を元に戻したい場合、メンバーズポータルサイトから再有効化することが可能です。
設定反映は毎週土曜日午前2時ごろから順次開始されます。

メンバーズポータルサイトから対象のアカウントIDを選択します。

下記画面から、メンバーズサービス設定を選択します。

新しくタブが開かれるので、セキュリティ設定を選択します。

セキュア設定項目にて、「Amazon EventBridge通知設定」の項目を有効化にて保存します。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.