ActionTrail を使用して KMS キーに関連するイベントを照会する - ActionTrail

ActionTrail を使用して Key Management Service (KMS) 内のキーの使用状況をモニタリングし、異常なアクティビティ、不正な操作、または潜在的なセキュリティリスクを早期に検出できます。効果的なモニタリングと監査は、データセキュリティとコンプライアンスを確保するために KMS キーを管理および保護するのに役立ちます。このトピックでは、ActionTrail のイベント高度照会機能を使用して、KMS キーの管理レコードと使用状況を照会する方法について説明します。

前提条件

簡易 Log Service がアクティブ化されていること。詳細については、「はじめに」をご参照ください。
説明
簡易 Log Service をアクティブ化しても課金されません。監査イベントを簡易 Log Service に配信し、簡易 Log Service のデータを照会および分析する場合に課金されます。詳細については、「請求の概要」をご参照ください。
以下の条件を満たすトレイルが作成されていること。
- トレイルはすべてのリージョンのイベントを配信する。
- トレイルは管理イベントタイプのイベントを配信する。
- 管理イベントパラメーターで「すべて」が選択されている。
- トレイルはイベントを簡易 Log Service に配信する。
説明
現在のアカウント内にトレイルが作成されていない場合、または既存のトレイルが条件を満たしていない場合は、対象のトレイルを作成します。詳細については、「シングルアカウントトレイルを作成する」または「マルチアカウントトレイルを作成する」をご参照ください。

シナリオ 1：KMS キーの作成、削除、有効化、無効化のレコードを照会する

ActionTrail コンソールにログオンします。
左側のナビゲーションウィンドウで、[イベント] > [イベント高度照会] を選択します。
左側の [照会範囲] ウィンドウで、管理するトレイルを選択します。
[デフォルト] タブで、次の照会条件を設定します。
- [サービス名] を [key Management Service (kms)] に設定します。
- [イベント名] を [createkey]、[schedulekeydeletion]、[enablekey]、[disablekey] に設定します。
照会時間範囲を指定し、[実行] をクリックします。
照会結果を表示します。
- 生のログ
  [生のログ] タブで、指定した時間範囲内の KMS キーの作成、削除、有効化、無効化のすべてのレコードを表示します。イベントを見つけて、[操作] 列の [イベントの詳細を表示] をクリックして、イベントの基本情報とログを表示します。
- 照会ヒストグラム
  [照会ヒストグラム] タブで、イベントのヒストグラムを表示します。
オプション。SQL 文を実行して、オペレーター、イベント、キー ID など、特定の操作に関する情報を照会します。
1. 右上隅の [簡易モード] をオフにし、次のクエリ文を入力します。
```
event.serviceName:Kms AND (event.eventName:CreateKey OR event.eventName:ScheduleKeyDeletion OR event.eventName:EnableKey OR event.eventName:DisableKey)
| SELECT date_format(__time__, '%Y-%m-%d %H:%i:%s') as time,"event.eventName" as eventName,"event.userIdentity.userName" as user,"event.resourceName" as keyId
```
2. 照会時間範囲を指定し、[実行] をクリックします。
3. 照会結果を表示します。
  - 集計分析
    [集計分析] タブで、フィルタリング後に返される情報 (操作時間、関連イベント、オペレーター、キー ID など) を表示します。
  - 生のログ
    [生のログ] タブで、イベントを見つけて、[操作] 列の [イベントの詳細を表示] をクリックして、イベントの基本情報とログを表示します。
  - 照会ヒストグラム
    [照会ヒストグラム] タブで、イベントのヒストグラムを表示します。

シナリオ 2：KMS キーの使用状況を照会する

ActionTrail コンソールにログオンします。
左側のナビゲーションウィンドウで、[イベント] > [イベント高度照会] を選択します。
左側の [照会範囲] ウィンドウで、管理するトレイルを選択します。
右上隅の [簡易モード] をオフにし、照会する KMS キーの ID を入力します。
照会時間範囲を指定し、[実行] をクリックします。
照会結果を表示します。
- 生のログ
  [生のログ] タブで、指定した時間範囲内でキー ID に関連するイベントを表示します。表示するイベントを見つけて、[操作] 列の [イベントの詳細を表示] をクリックして、イベントの基本情報とログを表示します。
- 照会ヒストグラム
  [照会ヒストグラム] タブで、イベントのヒストグラムを表示します。
オプション。SQL 文を実行して、イベント名や IP アドレスなど、キーの呼び出し統計を収集します。
1. [デフォルト] タブで、次のクエリ文を入力します。
```
"<YourKmsKeyId>" | SELECT DISTINCT "event.eventName" as eventName,"event.sourceIpAddress" as ip,count(*) as num GROUP BY eventName,ip ORDER BY count(*) DESC
```
  説明
  <YourKmsKeyId> を KMS キーの ID に置き換えます。
2. 照会時間範囲を指定し、[実行] をクリックします。
3. 照会結果を表示します。
  - 集計分析
    [集計分析] タブで、関連イベント、IP アドレス、呼び出し回数などの呼び出し統計を表示します。
  - 生のログ
    [生のログ] タブで、表示するイベントを見つけて、[操作] 列の [イベントの詳細を表示] をクリックして、イベントの基本情報とログを表示します。
  - 照会ヒストグラム
    [照会ヒストグラム] タブで、イベントのヒストグラムを表示します。

参考資料

ActionTrail のイベント照会機能を使用して、過去 90 日間に生成された KMS イベントを照会することもできます。詳細については、「ActionTrail コンソールでイベントを照会する」をご参照ください。
KMS のイベントを照会する方法の詳細については、「キーとシークレットの使用レコードを照会する」をご参照ください。