Bitwarden Enterprise のイベントログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Amazon S3 を使用して Bitwarden Enterprise イベントログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工の JSON 形式のイベントログを Chronicle UDM に準拠した構造化形式に変換します。ユーザーの詳細、IP アドレス、イベントタイプなどの関連フィールドを抽出し、対応する UDM フィールドにマッピングして、一貫したセキュリティ分析を行います。
始める前に
- Google SecOps インスタンス
- Bitwarden テナントへの特権アクセス
- AWS(S3、IAM、Lambda、EventBridge)への特権アクセス
Bitwarden の API キーと URL を取得する
- Bitwarden 管理コンソール。
- [設定] > [組織情報] > [API キーを表示] に移動します。
- 次の詳細をコピーして安全な場所に保存します。
- クライアント ID
- Client Secret
- Bitwarden エンドポイント(地域に基づく)を特定します。
- IDENTITY_URL:
https://identity.bitwarden.com/connect/token(EU:https://identity.bitwarden.eu/connect/token) - API_BASE:
https://api.bitwarden.com(EU:https://api.bitwarden.eu)
- IDENTITY_URL:
Google SecOps 用に AWS S3 バケットと IAM を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で参照できるように、バケットの名前とリージョンを保存します(例:
bitwarden-events)。 - IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成したユーザーを選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] として [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで、[権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索して選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
S3 アップロードの IAM ポリシーとロールを構成する
- AWS コンソール > IAM > ポリシー > ポリシーの作成 > [JSON] タブ に移動します。
次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutBitwardenObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bitwarden-events/*" }, { "Sid": "AllowGetStateObject", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::bitwarden-events/bitwarden/events/state.json" } ] }- 別のバケット名を入力した場合は、
bitwarden-eventsを置き換えます。
- 別のバケット名を入力した場合は、
[次へ] > [ポリシーを作成] をクリックします。
[IAM] > [ロール] > [ロールの作成] > [AWS サービス] > [Lambda] に移動します。
新しく作成したポリシーを関連付けます。
ロールに「
WriteBitwardenToS3Role」という名前を付けて、[ロールを作成] をクリックします。
Lambda 関数を作成する
- AWS コンソールで、[Lambda] > [Functions] > [Create function] に移動します。
- [Author from scratch] をクリックします。
次の構成情報を提供してください。
設定 値 名前 bitwarden_events_to_s3ランタイム Python 3.13 アーキテクチャ x86_64 実行ロール WriteBitwardenToS3Role関数を作成したら、[コード] タブを開き、スタブを削除して次のコード(
bitwarden_events_to_s3.py)を入力します。#!/usr/bin/env python3 import os, json, time, urllib.parse from urllib.request import Request, urlopen from urllib.error import HTTPError, URLError import boto3 IDENTITY_URL = os.environ.get("IDENTITY_URL", "https://identity.bitwarden.com/connect/token") API_BASE = os.environ.get("API_BASE", "https://api.bitwarden.com").rstrip("/") CID = os.environ["BW_CLIENT_ID"] # organization.ClientId CSECRET = os.environ["BW_CLIENT_SECRET"] # organization.ClientSecret BUCKET = os.environ["S3_BUCKET"] PREFIX = os.environ.get("S3_PREFIX", "bitwarden/events/").strip("/") STATE_KEY = os.environ.get("STATE_KEY", "bitwarden/events/state.json") MAX_PAGES = int(os.environ.get("MAX_PAGES", "10")) HEADERS_FORM = {"Content-Type": "application/x-www-form-urlencoded"} HEADERS_JSON = {"Accept": "application/json"} s3 = boto3.client("s3") def _read_state(): try: obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY) j = json.loads(obj["Body"].read()) return j.get("continuationToken") except Exception: return None def _write_state(token): body = json.dumps({"continuationToken": token}).encode("utf-8") s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json") def _http(req: Request, timeout: int = 60, max_retries: int = 5): attempt, backoff = 0, 1.0 while True: try: with urlopen(req, timeout=timeout) as r: return json.loads(r.read().decode("utf-8")) except HTTPError as e: # Retry on 429 and 5xx if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries: time.sleep(backoff); attempt += 1; backoff *= 2; continue raise except URLError: if attempt < max_retries: time.sleep(backoff); attempt += 1; backoff *= 2; continue raise def _get_token(): body = urllib.parse.urlencode({ "grant_type": "client_credentials", "scope": "api.organization", "client_id": CID, "client_secret": CSECRET, }).encode("utf-8") req = Request(IDENTITY_URL, data=body, method="POST", headers=HEADERS_FORM) data = _http(req, timeout=30) return data["access_token"], int(data.get("expires_in", 3600)) def _fetch_events(bearer: str, cont: str | None): params = {} if cont: params["continuationToken"] = cont qs = ("?" + urllib.parse.urlencode(params)) if params else "" url = f"{API_BASE}/public/events{qs}" req = Request(url, method="GET", headers={"Authorization": f"Bearer {bearer}", **HEADERS_JSON}) return _http(req, timeout=60) def _write_page(obj: dict, run_ts_s: int, page_index: int) -> str: # Make filename unique per page to avoid overwrites in the same second key = f"{PREFIX}/{time.strftime('%Y/%m/%d/%H%M%S', time.gmtime(run_ts_s))}-page{page_index:05d}-bitwarden-events.json" s3.put_object( Bucket=BUCKET, Key=key, Body=json.dumps(obj, separators=(",", ":")).encode("utf-8"), ContentType="application/json", ) return key def lambda_handler(event=None, context=None): bearer, _ttl = _get_token() cont = _read_state() run_ts_s = int(time.time()) pages = 0 written = 0 while pages < MAX_PAGES: data = _fetch_events(bearer, cont) # write page _write_page(data, run_ts_s, pages) pages += 1 # count entries (official shape: {"object":"list","data":[...], "continuationToken": "..."} ) entries = [] if isinstance(data.get("data"), list): entries = data["data"] elif isinstance(data.get("entries"), list): # fallback if shape differs entries = data["entries"] written += len(entries) # next page token (official: "continuationToken") next_cont = data.get("continuationToken") if next_cont: cont = next_cont continue break # Save state only if there are more pages to continue in next run _write_state(cont if pages >= MAX_PAGES and cont else None) return {"ok": True, "pages": pages, "events_estimate": written, "nextContinuationToken": cont} if __name__ == "__main__": print(lambda_handler())[構成> 環境変数 > 編集 > 新しい環境変数を追加] に移動します。
次の環境変数を入力し、実際の値に置き換えます。
キー 例 S3_BUCKETbitwarden-eventsS3_PREFIXbitwarden/events/STATE_KEYbitwarden/events/state.jsonBW_CLIENT_ID<organization client_id>BW_CLIENT_SECRET<organization client_secret>IDENTITY_URLhttps://identity.bitwarden.com/connect/token(EU:https://identity.bitwarden.eu/connect/token)API_BASEhttps://api.bitwarden.com(EU:https://api.bitwarden.eu)MAX_PAGES10関数が作成されたら、そのページにとどまるか、[Lambda] > [関数] > [your-function] を開きます。
[CONFIGURATION] タブを選択します。
[全般設定] パネルで、[編集] をクリックします。
[Timeout] を [5 minutes (300 seconds)] に変更し、[Save] をクリックします。
EventBridge スケジュールを作成する
- Amazon EventBridge > Scheduler > スケジュールの作成に移動します。
- 次の構成の詳細を入力します。
- 定期的なスケジュール: レート(
1 hour)。 - ターゲット: Lambda 関数。
- 名前:
bitwarden-events-1h
- 定期的なスケジュール: レート(
- [スケジュールを作成] をクリックします。
省略可: Google SecOps 用の読み取り専用の IAM ユーザーと鍵を作成する
- AWS コンソールで、[IAM] > [Users] に移動し、[Add users] をクリックします。
- 次の構成の詳細を入力します。
- ユーザー: 一意の名前を入力します(例:
secops-reader)。 - アクセスタイプ: [Access key - Programmatic access] を選択します。
- [ユーザーを作成] をクリックします。
- ユーザー: 一意の名前を入力します(例:
- 最小限の読み取りポリシー(カスタム)を適用する: [ユーザー] >
secops-readerを選択 > [権限] > [権限を追加] > [ポリシーを直接適用] > [ポリシーを作成] JSON エディタで次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<your-bucket>/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<your-bucket>" } ] }名前を
secops-reader-policyに設定します。[ポリシーの作成> 検索/選択> 次へ> 権限を追加] に移動します。
[セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] に移動します。
CSV をダウンロードします(これらの値はフィードに入力されます)。
Bitwarden Enterprise イベントログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Bitwarden Events)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [ログタイプ] として [Bitwarden events] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- S3 URI:
s3://bitwarden-events/bitwarden/events/ - Source deletion options: 必要に応じて削除オプションを選択します。
- 最大ファイル経過時間: デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| actingUserId | target.user.userid | enriched.actingUser.userId が空または null の場合、このフィールドを使用して target.user.userid フィールドが入力されます。 |
| collectionID | security_result.detection_fields.key | security_result の detection_fields 内の key フィールドに値を入力します。 |
| collectionID | security_result.detection_fields.value | security_result の detection_fields 内の value フィールドに値を入力します。 |
| 日付 | metadata.event_timestamp | 解析されてタイムスタンプ形式に変換され、event_timestamp にマッピングされます。 |
| enriched.actingUser.accessAll | security_result.rule_labels.key | security_result の rule_labels 内の値を「Access_All」に設定します。 |
| enriched.actingUser.accessAll | security_result.rule_labels.value | security_result の rule_labels 内の value フィールドに、文字列に変換された enriched.actingUser.accessAll の値を入力します。 |
| enriched.actingUser.email | target.user.email_addresses | target.user 内の email_addresses フィールドに値を入力します。 |
| enriched.actingUser.id | metadata.product_log_id | metadata 内の product_log_id フィールドに値を入力します。 |
| enriched.actingUser.id | target.labels.key | target.labels 内の値を「ID」に設定します。 |
| enriched.actingUser.id | target.labels.value | target.labels 内の value フィールドに enriched.actingUser.id の値を入力します。 |
| enriched.actingUser.name | target.user.user_display_name | target.user 内の user_display_name フィールドに値を入力します。 |
| enriched.actingUser.object | target.labels.key | target.labels 内の値を「Object」に設定します。 |
| enriched.actingUser.object | target.labels.value | target.labels 内の value フィールドに enriched.actingUser.object の値を入力します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.key | target.labels 内の値を「ResetPasswordEnrolled」に設定します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.value | target.labels 内の value フィールドに、enriched.actingUser.resetPasswordEnrolled から文字列に変換された値を入力します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.key | security_result の rule_labels 内の値を「Two Factor Enabled」に設定します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.value | security_result の rule_labels 内の value フィールドに、文字列に変換された enriched.actingUser.twoFactorEnabled の値を入力します。 |
| enriched.actingUser.userId | target.user.userid | target.user 内の userid フィールドに値を入力します。 |
| enriched.collection.id | additional.fields.key | additional.fields 内の「コレクション ID」に値を設定します。 |
| enriched.collection.id | additional.fields.value.string_value | additional.fields 内の string_value フィールドに enriched.collection.id の値を入力します。 |
| enriched.collection.object | additional.fields.key | additional.fields 内の値を「コレクション オブジェクト」に設定します。 |
| enriched.collection.object | additional.fields.value.string_value | additional.fields 内の string_value フィールドに enriched.collection.object の値を入力します。 |
| enriched.type | metadata.product_event_type | metadata 内の product_event_type フィールドに値を入力します。 |
| groupId | target.user.group_identifiers | target.user 内の group_identifiers 配列に値を追加します。 |
| ipAddress | principal.ip | フィールドから IP アドレスを抽出し、principal.ip にマッピングしました。 |
| なし | extensions.auth | パーサーによって空のオブジェクトが作成されます。 |
| なし | metadata.event_type | enriched.type と principal および target 情報の有無に基づいて決定されます。有効な値: USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT。 |
| なし | security_result.action | enriched.type に基づいて決定されます。指定可能な値は、ALLOW、BLOCK です。 |
| オブジェクト | additional.fields.key | additional.fields 内の値を「Object」に設定します。 |
| オブジェクト | additional.fields.value | additional.fields 内の value フィールドに object の値を入力します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。