Bitwarden Enterprise のイベントログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Cloud Storage を使用して Bitwarden Enterprise イベントログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工の JSON 形式のイベントログを SecOps UDM に準拠した構造化形式に変換します。ユーザーの詳細、IP アドレス、イベントタイプなどの関連フィールドを抽出し、一貫したセキュリティ分析のために対応する UDM フィールドにマッピングします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Bitwarden テナントへの特権アクセス
- Cloud Storage API が有効になっている GCP プロジェクト
- GCS バケットを作成および管理する権限
- GCS バケットの IAM ポリシーを管理する権限
- Cloud Run サービス、Pub/Sub トピック、Cloud Scheduler ジョブを作成する権限
Bitwarden の API キーと URL を取得する
- Bitwarden 管理コンソールで、[Settings] > [Organization info] > [View API key] に移動します。
- 次の詳細をコピーして安全な場所に保存します。
- Client-ID
- Client Secret
Bitwarden エンドポイント(地域に基づく)を特定します。
- IDENTITY_URL =
https://identity.bitwarden.com/connect/token(EU:https://identity.bitwarden.eu/connect/token) - API_BASE =
https://api.bitwarden.com(EU:https://api.bitwarden.eu)
- IDENTITY_URL =
Google Cloud Storage バケットを作成する
- Google Cloud Console に移動します。
- プロジェクトを選択するか、新しいプロジェクトを作成します。
- ナビゲーション メニューで、[Cloud Storage > バケット] に移動します。
- [バケットを作成] をクリックします。
次の構成情報を提供してください。
設定 値 バケットに名前を付ける グローバルに一意の名前( bitwarden-eventsなど)を入力します。ロケーション タイプ ニーズに基づいて選択します(リージョン、デュアルリージョン、マルチリージョン)。 ロケーション ロケーションを選択します(例: us-central1)。ストレージ クラス Standard(頻繁にアクセスされるログにおすすめ) アクセス制御 均一(推奨) 保護ツール 省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする [作成] をクリックします。
Bitwarden API の前提条件を収集する
前の手順で Bitwarden API 認証情報を収集済みです。
- クライアント ID: Bitwarden 管理コンソールの組織クライアント ID
- クライアント シークレット: Bitwarden 管理コンソールの組織クライアント シークレット
- IDENTITY_URL:
https://identity.bitwarden.com/connect/token(または EU エンドポイント) - API_BASE:
https://api.bitwarden.com(または EU エンドポイント)
Cloud Run functions のサービス アカウントを作成する
Cloud Run 関数には、GCS バケットに書き込み、Pub/Sub によって呼び出される権限を持つサービス アカウントが必要です。
サービス アカウントの作成
- GCP Console で、[IAM と管理>サービス アカウント] に移動します。
- [サービス アカウントを作成] をクリックします。
- 次の構成の詳細を指定します。
- サービス アカウント名: 「
bitwarden-events-collector-sa」と入力します。 - サービス アカウントの説明: 「
Service account for Cloud Run function to collect Bitwarden Enterprise Event logs」と入力します。
- サービス アカウント名: 「
- [作成して続行] をクリックします。
- [このサービス アカウントにプロジェクトへのアクセスを許可する] セクションで、次のロールを追加します。
- [ロールを選択] をクリックします。
- [ストレージ オブジェクト管理者] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Run 起動元] を検索して選択します。
- [+ 別のロールを追加] をクリックします。
- [Cloud Functions 起動元] を検索して選択します。
- [続行] をクリックします。
- [完了] をクリックします。
これらのロールは、次の目的で必要です。
- Storage オブジェクト管理者: ログを GCS バケットに書き込み、状態ファイルを管理する
- Cloud Run 起動元: Pub/Sub が関数を呼び出すことを許可する
- Cloud Functions 起動元: 関数の呼び出しを許可する
GCS バケットに対する IAM 権限を付与する
GCS バケットに対する書き込み権限をサービス アカウントに付与します。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
bitwarden-events-collector-sa@PROJECT_ID.iam.gserviceaccount.com)を入力します。 - ロールを割り当てる: [Storage オブジェクト管理者] を選択します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
- [保存] をクリックします。
Pub/Sub トピックの作成
Cloud Scheduler がパブリッシュし、Cloud Run functions がサブスクライブする Pub/Sub トピックを作成します。
- GCP Console で、[Pub/Sub> トピック] に移動します。
- [トピックを作成] をクリックします。
- 次の構成の詳細を指定します。
- トピック ID: 「
bitwarden-events-trigger」と入力します。 - その他の設定はデフォルトのままにします。
- トピック ID: 「
- [作成] をクリックします。
ログを収集する Cloud Run 関数を作成する
Cloud Run 関数は、Cloud Scheduler からの Pub/Sub メッセージによってトリガーされ、Bitwarden Events API からログを取得して GCS に書き込みます。
- GCP Console で、[Cloud Run] に移動します。
- [サービスを作成] をクリックします。
- [関数] を選択します(インライン エディタを使用して関数を作成します)。
[構成] セクションで、次の構成の詳細を指定します。
設定 値 サービス名 bitwarden-events-collectorリージョン GCS バケットと一致するリージョンを選択します(例: us-central1)。ランタイム [Python 3.12] 以降を選択します。 [トリガー(省略可)] セクションで、次の操作を行います。
- [+ トリガーを追加] をクリックします。
- [Cloud Pub/Sub] を選択します。
- [Cloud Pub/Sub トピックを選択してください] で、Pub/Sub トピック(
bitwarden-events-trigger)を選択します。 - [保存] をクリックします。
[認証] セクションで、次の操作を行います。
- [認証が必要] を選択します。
- Identity and Access Management(IAM)を確認します。
下にスクロールして、[コンテナ、ネットワーキング、セキュリティ] を開きます。
[セキュリティ] タブに移動します。
- サービス アカウント: サービス アカウントを選択します(
bitwarden-events-collector-sa)。
- サービス アカウント: サービス アカウントを選択します(
[コンテナ] タブに移動します。
- [変数とシークレット] をクリックします。
- 環境変数ごとに [+ 変数を追加] をクリックします。
変数名 値の例 GCS_BUCKETbitwarden-eventsGCS_PREFIXbitwarden/eventsSTATE_KEYbitwarden/events/state.jsonBW_CLIENT_IDorganization.your-client-idBW_CLIENT_SECRETyour-client-secretIDENTITY_URLhttps://identity.bitwarden.com/connect/tokenAPI_BASEhttps://api.bitwarden.comMAX_PAGES10[変数とシークレット] セクションで、[リクエスト] まで下にスクロールします。
- リクエストのタイムアウト:
600秒(10 分)を入力します。
- リクエストのタイムアウト:
[設定] タブに移動します。
- [リソース] セクションで次の操作を行います。
- メモリ: 512 MiB 以上を選択します。
- CPU: [1] を選択します。
- [リソース] セクションで次の操作を行います。
[リビジョン スケーリング] セクションで、次の操作を行います。
- [インスタンスの最小数] に「
0」と入力します。 - インスタンスの最大数:
100と入力します(または、予想される負荷に基づいて調整します)。
- [インスタンスの最小数] に「
[作成] をクリックします。
サービスが作成されるまで待ちます(1 ~ 2 分)。
サービスを作成すると、インライン コードエディタが自動的に開きます。
関数コードを追加する
- [関数のエントリ ポイント] に「main」と入力します。
インライン コードエディタで、次の 2 つのファイルを作成します。
- 最初のファイル: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import base64 # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch events from Bitwarden API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'bitwarden/events').strip('/') state_key = os.environ.get('STATE_KEY', 'bitwarden/events/state.json') # Bitwarden API credentials identity_url = os.environ.get('IDENTITY_URL', 'https://identity.bitwarden.com/connect/token') api_base = os.environ.get('API_BASE', 'https://api.bitwarden.com').rstrip('/') client_id = os.environ.get('BW_CLIENT_ID') client_secret = os.environ.get('BW_CLIENT_SECRET') max_pages = int(os.environ.get('MAX_PAGES', '10')) if not all([bucket_name, client_id, client_secret]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (continuation token) state = load_state(bucket, state_key) continuation_token = state.get('continuationToken') print(f'Processing events with continuation token: {continuation_token}') # Get OAuth token access_token = get_oauth_token(identity_url, client_id, client_secret) # Fetch events from Bitwarden API run_timestamp = int(datetime.now(timezone.utc).timestamp()) pages = 0 total_events = 0 written_files = [] while pages < max_pages: events_data = fetch_events(api_base, access_token, continuation_token) # Extract events array from API response events = events_data.get('data', []) # Only write file if there are events if events: gcs_key = write_events_jsonl(bucket, events, prefix, run_timestamp, pages) if gcs_key: written_files.append(gcs_key) total_events += len(events) pages += 1 # Check for next page token next_token = events_data.get('continuationToken') if next_token: continuation_token = next_token continue else: # No more pages break # Save state only if there are more pages to continue in next run # If we hit MAX_PAGES and there's still a continuation token, save it # Otherwise, clear the state (set to None) save_state(bucket, state_key, { 'continuationToken': continuation_token if pages >= max_pages and continuation_token else None }) print(f'Successfully processed {total_events} events across {pages} pages') print(f'Files written: {len(written_files)}') except Exception as e: print(f'Error processing events: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def get_oauth_token(identity_url, client_id, client_secret): """Get OAuth 2.0 access token from Bitwarden.""" body_data = { 'grant_type': 'client_credentials', 'scope': 'api.organization', 'client_id': client_id, 'client_secret': client_secret } encoded_data = '&'.join([f'{k}={v}' for k, v in body_data.items()]).encode('utf-8') response = http.request( 'POST', identity_url, body=encoded_data, headers={'Content-Type': 'application/x-www-form-urlencoded'} ) if response.status != 200: raise Exception(f'Failed to get OAuth token: {response.status} {response.data.decode("utf-8")}') token_data = json.loads(response.data.decode('utf-8')) return token_data['access_token'] def fetch_events(api_base, access_token, continuation_token=None): """Fetch events from Bitwarden API with pagination.""" url = f'{api_base}/public/events' if continuation_token: url += f'?continuationToken={continuation_token}' response = http.request( 'GET', url, headers={ 'Authorization': f'Bearer {access_token}', 'Accept': 'application/json' } ) if response.status == 429: retry_after = int(response.headers.get('Retry-After', '60')) print(f'Rate limited (429). Retrying after {retry_after}s...') import time time.sleep(retry_after) return fetch_events(api_base, access_token, continuation_token) if response.status != 200: raise Exception(f'Failed to fetch events: {response.status} {response.data.decode("utf-8")}') return json.loads(response.data.decode('utf-8')) def write_events_jsonl(bucket, events, prefix, run_timestamp, page_index): """ Write events in JSONL format (one JSON object per line). Only writes if there are events to write. Returns the GCS key of the written file. """ if not events: return None # Build JSONL content: one event per line lines = [json.dumps(event, separators=(',', ':')) for event in events] jsonl_content = '\n'.join(lines) + '\n' # JSONL format with trailing newline # Generate unique filename with page number to avoid conflicts timestamp_str = datetime.fromtimestamp(run_timestamp, tz=timezone.utc).strftime('%Y/%m/%d/%H%M%S') key = f'{prefix}/{timestamp_str}-page{page_index:05d}-bitwarden-events.jsonl' blob = bucket.blob(key) blob.upload_from_string( jsonl_content, content_type='application/x-ndjson' ) print(f'Wrote {len(events)} events to {key}') return key- 2 つ目のファイル: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0[デプロイ] をクリックして、関数を保存してデプロイします。
デプロイが完了するまで待ちます(2 ~ 3 分)。
Cloud Scheduler ジョブの作成
Cloud Scheduler は、定期的に Pub/Sub トピックにメッセージをパブリッシュし、Cloud Run functions の関数をトリガーします。
- GCP Console で、[Cloud Scheduler] に移動します。
- [ジョブを作成] をクリックします。
次の構成情報を提供してください。
設定 値 名前 bitwarden-events-hourlyリージョン Cloud Run functions と同じリージョンを選択する 周波数 0 * * * *(1 時間ごとに正時)タイムゾーン タイムゾーンを選択します(UTC を推奨)。 ターゲット タイプ Pub/Sub トピック Pub/Sub トピック( bitwarden-events-trigger)を選択するメッセージ本文 {}(空の JSON オブジェクト)[作成] をクリックします。
スケジュールの頻度のオプション
ログの量とレイテンシの要件に基づいて頻度を選択します。
頻度 CRON 式 ユースケース 5 分毎 */5 * * * *大容量、低レイテンシ 15 分ごと */15 * * * *検索量が普通 1 時間ごと 0 * * * *標準(推奨) 6 時間ごと 0 */6 * * *少量、バッチ処理 毎日 0 0 * * *履歴データの収集
統合をテストする
- Cloud Scheduler コンソールで、ジョブを見つけます。
- [強制実行] をクリックして、ジョブを手動でトリガーします。
- 数秒待ちます。
- Cloud Run > サービスに移動します。
- 関数名(
bitwarden-events-collector)をクリックします。 - [Logs] タブをクリックします。
関数が正常に実行されたことを確認します。求めていること:
Processing events with continuation token: None Page 1: Retrieved X events Wrote X events to bitwarden/events/YYYY/MM/DD/HHMMSS-page00000-bitwarden-events.jsonl Successfully processed X events across 1 pages[Cloud Storage] > [バケット] に移動します。
バケット名をクリックします。
プレフィックス フォルダ(
bitwarden/events/)に移動します。現在のタイムスタンプで新しい
.jsonlファイルが作成されたことを確認します。
ログにエラーが表示された場合:
- HTTP 401: 環境変数で API 認証情報を確認する
- HTTP 403: アカウントに必要な権限が付与されていることと、組織の設定でイベント機能が有効になっていることを確認します
- HTTP 429: レート制限 - 関数はバックオフで自動的に再試行されます
- 環境変数が不足している: 必要な変数がすべて設定されていることを確認します
Google SecOps サービス アカウントを取得する
Google SecOps は、一意のサービス アカウントを使用して GCS バケットからデータを読み取ります。このサービス アカウントにバケットへのアクセス権を付与する必要があります。
サービス アカウントのメールアドレスを取得する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Bitwarden Events)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [Bitwarden events] を選択します。
[サービス アカウントを取得する] をクリックします。一意のサービス アカウント メールアドレスが表示されます(例:)。
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comこのメールアドレスをコピーして、次のステップで使用します。
Google SecOps サービス アカウントに IAM 権限を付与する
Google SecOps サービス アカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。
- [Cloud Storage] > [バケット] に移動します。
- バケット名をクリックします。
- [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービス アカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [ストレージ オブジェクト閲覧者] を選択します。
[保存] をクリックします。
Bitwarden Enterprise イベントログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Bitwarden Events)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [Bitwarden events] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
ストレージ バケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
gs://bitwarden-events/bitwarden/events/次のように置き換えます。
bitwarden-events: GCS バケット名。bitwarden/events/: ログが保存される接頭辞/フォルダパス。
Source deletion option: 必要に応じて削除オプションを選択します。
- なし: 転送後にファイルを削除しません(テストにおすすめ)。
- 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| actingUserId | target.user.userid | enriched.actingUser.userId が空または null の場合、このフィールドを使用して target.user.userid フィールドが入力されます。 |
| collectionID | security_result.detection_fields.key | security_result の detection_fields 内のキー フィールドに入力します。 |
| collectionID | security_result.detection_fields.value | security_result の detection_fields 内の値フィールドに入力します。 |
| date | metadata.event_timestamp | 解析されてタイムスタンプ形式に変換され、event_timestamp にマッピングされます。 |
| enriched.actingUser.accessAll | security_result.rule_labels.key | security_result の rule_labels 内の値を「Access_All」に設定します。 |
| enriched.actingUser.accessAll | security_result.rule_labels.value | enriched.actingUser.accessAll の値を文字列に変換し、security_result の rule_labels 内の値フィールドに入力します。 |
| enriched.actingUser.email | target.user.email_addresses | target.user 内の email_addresses フィールドに入力します。 |
| enriched.actingUser.id | metadata.product_log_id | メタデータ内の product_log_id フィールドに入力します。 |
| enriched.actingUser.id | target.labels.key | target.labels 内の値を「ID」に設定します。 |
| enriched.actingUser.id | target.labels.value | enriched.actingUser.id の値を使用して、target.labels 内の値フィールドに入力します。 |
| enriched.actingUser.name | target.user.user_display_name | target.user 内の user_display_name フィールドに入力します。 |
| enriched.actingUser.object | target.labels.key | target.labels 内の値を「Object」に設定します。 |
| enriched.actingUser.object | target.labels.value | enriched.actingUser.object の値を使用して、target.labels 内の値フィールドに入力します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.key | target.labels 内の値を「ResetPasswordEnrolled」に設定します。 |
| enriched.actingUser.resetPasswordEnrolled | target.labels.value | enriched.actingUser.resetPasswordEnrolled の値を文字列に変換し、target.labels 内の値フィールドに入力します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.key | security_result の rule_labels 内の値を「Two Factor Enabled」に設定します。 |
| enriched.actingUser.twoFactorEnabled | security_result.rule_labels.value | enriched.actingUser.twoFactorEnabled から文字列に変換された値を使用して、security_result の rule_labels 内の値フィールドに入力します。 |
| enriched.actingUser.userId | target.user.userid | target.user 内の userid フィールドに入力します。 |
| enriched.collection.id | additional.fields.key | additional.fields 内の値を「コレクション ID」に設定します。 |
| enriched.collection.id | additional.fields.value.string_value | enriched.collection.id の値を使用して、additional.fields 内の string_value フィールドに入力します。 |
| enriched.collection.object | additional.fields.key | additional.fields 内の値を「Collection Object」に設定します。 |
| enriched.collection.object | additional.fields.value.string_value | enriched.collection.object の値を使用して、additional.fields 内の string_value フィールドに入力します。 |
| enriched.type | metadata.product_event_type | metadata 内の product_event_type フィールドに入力します。 |
| groupId | target.user.group_identifiers | 値を target.user 内の group_identifiers 配列に追加します。 |
| ipAddress | principal.ip | フィールドから IP アドレスを抽出し、principal.ip にマッピングしました。 |
| なし | extensions.auth | パーサーによって空のオブジェクトが作成されます。 |
| なし | metadata.event_type | enriched.type と、プリンシパルとターゲットの情報が存在するかどうかに基づいて決定されます。有効な値: USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT。 |
| なし | security_result.action | enriched.type に基づいて決定されます。指定可能な値は、ALLOW、BLOCK です。 |
| オブジェクト | additional.fields.key | additional.fields 内の値を「Object」に設定します。 |
| オブジェクト | additional.fields.value | additional.fields 内の値フィールドに、オブジェクトの値を入力します。 |
ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。