メインコンテンツまでスキップ

セキュリティアラート通知設定

メンバーズではAWSアカウントお申し込み時のセキュリティ設定オプションで「セキュア」を指定することで、セキュアアカウントを設定できます。セキュアアカウントではAWSのマネージドセキュリティサービスが有効化され、そこから発行される各種セキュリティアラートを扱いやすい形式に加工された状態で受け取れます。各種セキュリティアラートの通知を受け取るには設定が必要です。

本手順により、お客様が通知先を設定できます。弊社が提供するCloudFormationテンプレートのクイック作成リンクを利用して、お客様のセキュアアカウント上に各種セキュリティアラートを通知する仕組みを構築してください。通知方法はメールとSlackが選択できます。通知先の両立も可能です。

メール通知設定手順

次の手順にしたがってメール通知のリソースを作成してください。

  1. 通知先として登録したいメールアドレスを準備してください
  2. ブラウザで、セキュリティアラートを通知したいAWSアカウントのAWSマネジメントコンソールにサインインしてください
  3. メール通知のクイック作成リンクをクリックしてください
  4. CloudFormationのパラメータで準備したメールアドレスを入力してください
  5. 「作成」ボタンをクリックすると東京リージョンに必要なリソースが作成されます
  6. 入力したメールアドレス宛にAmazon SNSからメールアドレスの登録確認として「AWS Notification - Subscription Confirmation」というタイトルのメールが届きます。メール本文中の「Confirm subscription」リンクを押し登録を完了させます
  7. (オプション)メールアドレスを追加したい場合は、作成されたAmazon SNSのTopicにSubscriptionを追加してください

Slack通知設定手順

次の手順にしたがってSlack通知のリソースを作成してください。以下の1-3の手順はSlackチャンネルにメッセージを投稿できるSlackAppを作成する | DevelopersIOでより詳細に解説していますので合わせてご確認ください。

  1. 通知に利用するSlack Appを作成して以下を設定し、通知先のSlackワークスペースにインストールしてください(詳細はSlack APIドキュメントを参照してください)
    • Scopes: Bot Token Scopes
    • OAuth Scope: chat:write
  2. Slackワークスペースにインストールしたら、生成されたBot User OAuth Tokenを控えておきます
  3. 通知したいSlackワークスペース内のチャンネルIDを控えてください(対象がプライベートチャンネルの場合は、この段階で/inviteにて作成したSlack Appを追加してください)
  4. ブラウザで、セキュリティアラートを通知したいAWSアカウントのAWSマネジメントコンソールにサインインしてください
  5. Slack通知のクイック作成リンクをクリックしてください
  6. CloudFormationのパラメータで準備したチャンネルIDとBot User OAuth Tokenを入力してください
  7. 「作成」ボタンをクリックすると東京リージョンに必要なリソースが作成され、通知が開始されます
  8. (オプション)通知先のチャンネルを増やしたい場合は、作成されたEventBridgeルールのターゲットを参考に、同様のターゲット設定を追加してください

Teams通知設定手順

次の手順にしたがってTeams通知のリソースを作成してください。以下の1-2の手順はMicrosoft Teams Power Automate を使って EventBridge から Teams 通知をやってみる | DevelopersIOでより詳細に解説していますので合わせてご確認ください。

  1. 通知に利用するPower Automate ワークフローを作成してください
  2. 作成後、生成された通知用のURLを控えておきます
  3. ブラウザで、セキュリティアラートを通知したいAWSアカウントのAWSマネジメントコンソールにサインインしてください
  4. Teams通知のクイック作成リンクをクリックしてください
  5. CloudFormationのパラメータで準備した通知用のURLをTeamsWebhookUrlに入力してください
  6. 「作成」ボタンをクリックすると東京リージョンに必要なリソースが作成され、通知が開始されます
  7. (オプション)通知先のチャンネルを増やしたい場合は、作成されたEventBridgeルールのターゲットを参考に、同様のターゲット設定を追加してください

Security Hub通知のフィルタリング

Security Hubの通知内容を部分的に絞りたい場合には、Security Hubの通知を重要度でフィルタリング設定する | DevelopersIOを参考に対応が可能です。例えば重要度の高いものだけを通知するように変更が可能です。

通知の停止

通知を停止したい場合は、次のいずれかの作業で停止できます。

  • 作成したCloudFormation Stackの削除
    • (Stack名はデフォルトではcm-security-alert-mail-stack/cm-security-alert-slack-stackです)
  • メールの場合: Amazon SNSのSubscriptionの削除
  • Slackの場合: EventBridgeのルールあるいはターゲットの削除

ご注意点

  • 通知される項目は、各種セキュリティアラートから必要な部分を抜粋しています。詳細を確認したい場合には各種セキュリティサービスにアクセスしてください。
  • 何らかの理由で通知が失敗した場合、通知は再送されません。
  • AWSの各種機能を利用することで通知の仕組みを構成しています。AWSのアップデートや障害の影響を受けることをご認識の上ご利用ください。