Bitwarden Enterprise のイベントログを収集する
以下でサポートされています。
Google SecOps
SIEM
このガイドでは、Amazon S3 を使用して Bitwarden Enterprise イベントログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工の JSON 形式のイベントログを Chronicle UDM に準拠した構造化形式に変換します。ユーザーの詳細、IP アドレス、イベントタイプなどの関連フィールドを抽出し、一貫したセキュリティ分析のために対応する UDM フィールドにマッピングします。
始める前に
- Google SecOps インスタンス。
- Bitwarden テナントへの特権アクセス。
- AWS(S3、IAM、Lambda、EventBridge)への特権アクセス。
Bitwarden の API キーと URL を取得する
- Bitwarden 管理コンソール。
- [設定] > [組織情報] > [API キーを表示] に移動します。
- 次の詳細をコピーして安全な場所に保存します。
- クライアント ID
- クライアント シークレット
- Bitwarden エンドポイント(リージョンに基づく)を特定します。
- IDENTITY_URL =
https://identity.bitwarden.com/connect/token(EU:https://identity.bitwarden.eu/connect/token) - API_BASE =
https://api.bitwarden.com(EU:https://api.bitwarden.eu)
- IDENTITY_URL =
Google SecOps 用に AWS S3 バケットと IAM を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で参照できるように、バケットの名前とリージョンを保存します(例:
bitwarden-events)。 - IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成した [User] を選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] として [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [.csv ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、今後の参照に備えます。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションの [権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索します。
- ポリシーを選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
S3 アップロードの IAM ポリシーとロールを構成する
- AWS コンソール > IAM > ポリシー > ポリシーの作成 > [JSON] タブ に移動します。
- 以下のポリシーをコピーして貼り付けます。
- ポリシー JSON(別のバケット名を入力した場合は
bitwarden-eventsを置き換えます):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutBitwardenObjects",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bitwarden-events/*"
},
{
"Sid": "AllowGetStateObject",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bitwarden-events/bitwarden/events/state.json"
}
]
}
- [次へ] > [ポリシーを作成] をクリックします。
- [IAM] > [ロール] > [ロールの作成] > [AWS サービス] > [Lambda] に移動します。
- 新しく作成したポリシーを関連付けます。
- ロールに「
WriteBitwardenToS3Role」という名前を付けて、[ロールを作成] をクリックします。
Lambda 関数を作成する
- AWS コンソールで、[Lambda] > [Functions] > [Create function] に移動します。
- [Author from scratch] をクリックします。
- 次の構成情報を提供してください。
| 設定 | 値 |
|---|---|
| 名前 | bitwarden_events_to_s3 |
| ランタイム | Python 3.13 |
| アーキテクチャ | x86_64 |
| 実行ロール | WriteBitwardenToS3Role |
- 関数を作成したら、[コード] タブを開き、スタブを削除して、次のコード(
bitwarden_events_to_s3.py)を貼り付けます。
#!/usr/bin/env python3
import os, json, time, urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError
import boto3
IDENTITY_URL = os.environ.get("IDENTITY_URL", "https://identity.bitwarden.com/connect/token")
API_BASE = os.environ.get("API_BASE", "https://api.bitwarden.com").rstrip("/")
CID = os.environ["BW_CLIENT_ID"] # organization.ClientId
CSECRET = os.environ["BW_CLIENT_SECRET"] # organization.ClientSecret
BUCKET = os.environ["S3_BUCKET"]
PREFIX = os.environ.get("S3_PREFIX", "bitwarden/events/").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "bitwarden/events/state.json")
MAX_PAGES = int(os.environ.get("MAX_PAGES", "10"))
HEADERS_FORM = {"Content-Type": "application/x-www-form-urlencoded"}
HEADERS_JSON = {"Accept": "application/json"}
s3 = boto3.client("s3")
def _read_state():
try:
obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY)
j = json.loads(obj["Body"].read())
return j.get("continuationToken")
except Exception:
return None
def _write_state(token):
body = json.dumps({"continuationToken": token}).encode("utf-8")
s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json")
def _http(req: Request, timeout: int = 60, max_retries: int = 5):
attempt, backoff = 0, 1.0
while True:
try:
with urlopen(req, timeout=timeout) as r:
return json.loads(r.read().decode("utf-8"))
except HTTPError as e:
# Retry on 429 and 5xx
if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
time.sleep(backoff); attempt += 1; backoff *= 2; continue
raise
except URLError:
if attempt < max_retries:
time.sleep(backoff); attempt += 1; backoff *= 2; continue
raise
def _get_token():
body = urllib.parse.urlencode({
"grant_type": "client_credentials",
"scope": "api.organization",
"client_id": CID,
"client_secret": CSECRET,
}).encode("utf-8")
req = Request(IDENTITY_URL, data=body, method="POST", headers=HEADERS_FORM)
data = _http(req, timeout=30)
return data["access_token"], int(data.get("expires_in", 3600))
def _fetch_events(bearer: str, cont: str | None):
params = {}
if cont:
params["continuationToken"] = cont
qs = ("?" + urllib.parse.urlencode(params)) if params else ""
url = f"{API_BASE}/public/events{qs}"
req = Request(url, method="GET", headers={"Authorization": f"Bearer {bearer}", **HEADERS_JSON})
return _http(req, timeout=60)
def _write_events_jsonl(events: list, run_ts_s: int, page_index: int) -> str:
"""
Write events in JSONL format (one JSON object per line).
Only writes if there are events to write.
Returns the S3 key of the written file.
"""
if not events:
return None
# Build JSONL content: one event per line
lines = [json.dumps(event, separators=(",", ":")) for event in events]
jsonl_content = "\n".join(lines) + "\n" # JSONL format with trailing newline
# Generate unique filename with page number to avoid conflicts
key = f"{PREFIX}/{time.strftime('%Y/%m/%d/%H%M%S', time.gmtime(run_ts_s))}-page{page_index:05d}-bitwarden-events.jsonl"
s3.put_object(
Bucket=BUCKET,
Key=key,
Body=jsonl_content.encode("utf-8"),
ContentType="application/x-ndjson", # MIME type for JSONL
)
return key
def lambda_handler(event=None, context=None):
bearer, _ttl = _get_token()
cont = _read_state()
run_ts_s = int(time.time())
pages = 0
total_events = 0
written_files = []
while pages < MAX_PAGES:
data = _fetch_events(bearer, cont)
# Extract events array from API response
# API returns: {"object":"list", "data":[...], "continuationToken":"..."}
events = data.get("data", [])
# Only write file if there are events
if events:
s3_key = _write_events_jsonl(events, run_ts_s, pages)
if s3_key:
written_files.append(s3_key)
total_events += len(events)
pages += 1
# Check for next page token
next_cont = data.get("continuationToken")
if next_cont:
cont = next_cont
continue
else:
# No more pages
break
# Save state only if there are more pages to continue in next run
# If we hit MAX_PAGES and there's still a continuation token, save it
# Otherwise, clear the state (set to None)
_write_state(cont if pages >= MAX_PAGES and cont else None)
return {
"ok": True,
"pages": pages,
"total_events": total_events,
"files_written": len(written_files),
"nextContinuationToken": cont if pages >= MAX_PAGES else None
}
if __name__ == "__main__":
print(lambda_handler())
- [構成> 環境変数 > 編集 > 新しい環境変数を追加] に移動します。
- 次の環境変数を入力し、実際の値に置き換えます。
環境変数
| キー | 例 |
|---|---|
S3_BUCKET |
bitwarden-events |
S3_PREFIX |
bitwarden/events/ |
STATE_KEY |
bitwarden/events/state.json |
BW_CLIENT_ID |
<organization client_id> |
BW_CLIENT_SECRET |
<organization client_secret> |
IDENTITY_URL |
https://identity.bitwarden.com/connect/token (EU: https://identity.bitwarden.eu/connect/token) |
API_BASE |
https://api.bitwarden.com (EU: https://api.bitwarden.eu) |
MAX_PAGES |
10 |
- 関数が作成されたら、そのページにとどまるか、[Lambda] > [関数] > [your‑function] を開きます。
- [CONFIGURATION] タブを選択します。
- [全般設定] パネルで、[編集] をクリックします。
- [Timeout] を [5 minutes (300 seconds)] に変更して、[Save] をクリックします。
EventBridge スケジュールを作成する
- [Amazon EventBridge] > [Scheduler] > [スケジュールの作成] に移動します。
- 次の構成の詳細を入力します。
- 定期的なスケジュール: レート(
1 hour)。 - ターゲット: Lambda 関数。
- 名前:
bitwarden-events-1h
- 定期的なスケジュール: レート(
- [スケジュールを作成] をクリックします。
(省略可)Google SecOps 用の読み取り専用の IAM ユーザーと鍵を作成する
- AWS コンソール > IAM > ユーザー > ユーザーを追加 に移動します。
- [ユーザーを追加] をクリックします。
- 次の構成の詳細を入力します。
- ユーザー: 「
secops-reader」と入力します。 - アクセスの種類: [アクセスキー - プログラムによるアクセス] を選択します。
- ユーザー: 「
- [Create user] をクリックします。
- 最小限の読み取りポリシー(カスタム)を関連付ける: [ユーザー] > [secops-reader] > [権限] > [権限を追加] > [ポリシーを直接関連付ける] > [ポリシーを作成]。
- JSON:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::<your-bucket>/*"
},
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": "arn:aws:s3:::<your-bucket>"
}
]
}
- 名前 =
secops-reader-policy。 - [ポリシーを作成> 検索/選択> 次へ> 権限を追加] をクリックします。
secops-readerのアクセスキーを作成します。[セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] >.csvをダウンロードします(これらの値はフィードに貼り付けます)。
Bitwarden Enterprise イベントログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Bitwarden Events)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [ログタイプ] として [Bitwarden events] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- S3 URI:
s3://bitwarden-events/bitwarden/events/ - Source deletion options: 必要に応じて削除オプションを選択します。
- 最大ファイル経過時間: デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| actingUserId | target.user.userid | enriched.actingUser.userId が空または null の場合、このフィールドを使用して target.user.userid フィールドが入力されます。 |
| collectionID | security_result.detection_fields.key | security_result の detection_fields 内の key フィールドに入力します。 |
| collectionID | security_result.detection_fields.value | security_result の detection_fields 内の value フィールドに入力します。 |
| 日付 | metadata.event_timestamp | 解析されてタイムスタンプ形式に変換され、event_timestamp にマッピングされます。 |
| enriched.actingUser.accessAll | security_result.rule_labels.key | security_result の rule_labels 内の値を「Access_All」に設定します。 |
| enriched.actingUser.accessAll | security_result.rule_labels.value | security_result の rule_labels 内の value フィールドに、enriched.actingUser.accessAll から文字列に変換された値を入力します。 |
| enriched.actingUser.email | target.user.email_addresses | target.user 内の email_addresses フィールドに値を入力します。 |
| enriched.actingUser.id | metadata.product_log_id | metadata 内の product_log_id フィールドに値を入力します。 |
| enriched.actingUser.id | target.labels.key | target.labels 内の値を「ID」に設定します。 |
| enriched.actingUser.id | target.labels.value | target.labels 内の value フィールドに enriched.actingUser.id の値を入力します。 |
| enriched.actingUser.name | target.user.user_display_name | target.user 内の user_display_name フィールドに値を入力します。 |
| enriched.actingUser.object | target.labels.key | target.labels 内の値を「Object」に設定します。 |
| enriched.actingUser.object | target.labels.value | target.labels 内の value フィールドに enriched.actingUser.object の値を入力します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.key | target.labels 内の値を「ResetPasswordEnrolled」に設定します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.value | target.labels 内の value フィールドに、enriched.actingUser.resetPasswordEnrolled から文字列に変換された値を入力します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.key | security_result の rule_labels 内の値を「Two Factor Enabled」に設定します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.value | security_result の rule_labels 内の value フィールドに、enriched.actingUser.twoFactorEnabled から文字列に変換された値を入力します。 |
| enriched.actingUser.userId | target.user.userid | target.user 内の userid フィールドに値を入力します。 |
| enriched.collection.id | additional.fields.key | additional.fields 内の「コレクション ID」に値を設定します。 |
| enriched.collection.id | additional.fields.value.string_value | additional.fields 内の string_value フィールドに enriched.collection.id の値を入力します。 |
| enriched.collection.object | additional.fields.key | additional.fields 内の値を「コレクション オブジェクト」に設定します。 |
| enriched.collection.object | additional.fields.value.string_value | additional.fields 内の string_value フィールドに enriched.collection.object の値を入力します。 |
| enriched.type | metadata.product_event_type | metadata 内の product_event_type フィールドに値を入力します。 |
| groupId | target.user.group_identifiers | target.user 内の group_identifiers 配列に値を追加します。 |
| ipAddress | principal.ip | フィールドから IP アドレスを抽出し、principal.ip にマッピングしました。 |
| なし | extensions.auth | パーサーによって空のオブジェクトが作成されます。 |
| なし | metadata.event_type | enriched.type と principal および target の情報の有無に基づいて決定されます。有効な値: USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT。 |
| なし | security_result.action | enriched.type に基づいて決定されます。指定可能な値は、ALLOW、BLOCK です。 |
| オブジェクト | additional.fields.key | additional.fields 内の値を「Object」に設定します。 |
| オブジェクト | additional.fields.value | additional.fields 内の value フィールドに object の値を入力します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。