亚马逊AWS官方博客

使用 CloudWatch Logs Insights 增强 WorkMail 安全合规与业务透明度

背景

在当今复杂的数字环境中,企业邮件系统的安全性和合规性变得比以往任何时候都更加重要。对于使用 Amazon WorkMail 的组织来说,全面的事件监控和审计功能不仅是一种安全措施,更是一种战略性资产。这些功能使企业能够实时洞察邮件活动,快速识别潜在威胁,并确保符合各种监管要求。通过详细记录和分析用户行为和安全事件,企业可以构建一个强大的防御体系,并在发生安全事故时进行有效的事后分析。

通过利用 Amazon WorkMail 的事件日志和审核日志功能,企业有能力获得电子邮件活动的关键可见性。在本篇博客中,您将学习如何配置 Amazon WorkMail 将事件日志和审计日志发送到 CloudWatch Logs,并利用 CloudWatch Logs Insights 进行快速查询和统计,进而增强企业邮件系统的安全合规与业务透明度。

前提条件

篇幅限制,我们假定您已经完成了基础的 Amazon WorkMail 配置,确保已经能够通过 Amazon WorkMail 正常收发邮件,包括一下方面:

  • 注册获取 AWS 账户,创建具有管理管理 Amazon WorkMail 访问权限的 IAM 用户。
  • SES 申请脱离沙盒。
  • 完成 Simple Email Service (SES) 域名验证。
  • 完成 Amazon WorkMail 创建组织和域名信息配置。

本文中测试域名为 quicknow.net,完成上述前提配置后,在 WorkMail 控制台可看到该组织已经配置完成,点击下图红框中的 Web 客户端链接,在浏览器中可看到 Web 客户端的登录页面。

输入正确的用户名/密码后进入 web 客户端,测试收发邮件均正常后方可进行本文后续的配置和测试步骤。

配置步骤

监控和审核您的电子邮件和日志对于维护您的 Amazon WorkMail 组织的健康状况非常重要。Amazon WorkMail 的监控和审计日志功能为电子邮件系统管理员提供了强大的可见性,可以查看整个组织的邮箱活动和系统事件。Amazon WorkMail 支持两种类型的监控:

  • 事件日志记录——监控您组织的电子邮件发送活动有助于保护您的域名声誉。监控还可以帮助您跟踪发送和接收的电子邮件。
  • 审核日志记录——您可以使用审核日志记录有关 Amazon WorkMail 组织使用情况的详细信息,例如监视用户对邮箱的访问、审核可疑活动以及调试访问控制和可用性提供程序配置。

本章节指导您如何开启事件记录和审核日志,Amazon WorkMail 默认并没有开启事件记录和审核日志功能,我们首先需要手工开启事件记录和审核日志功能,如下图所示进入 Logging setting 页面。

点击 Save 后可看到保存成功的页面,该页面可看到详细的 CloudWatch logs group 的保存信息。

WorkMail 的审核日志有四种,具体包括:

  • ACCESS CONTROL LOGS – 这些日志记录了对访问控制规则的评估,并指出是否根据配置的规则授予或拒绝了对端点的访问。
  • AUTHENTICATION LOGS – 这些日志记录了登录活动的详细信息,记录了成功和失败的身份验证尝试。
  • AVAILABILITY PROVIDER LOGS – 这些日志记录了可用性提供商功能的使用情况,跟踪其运行状态和交互功能。
  • MAILBOX ACCESS LOGS – 此类别中的日志记录了每次访问 WorkMail 组织内邮箱的尝试,提供了凭据和协议访问模式的详细说明。

接下来我们需要添加 Audit log setting 的配置,如下图所示点击 Add。

下图所示,Audit log setting 有三种保存方式,本文中选择 CloudWatch Logs。

我们将四种审核日志全部开启并保存到 CloudWatch Logs。如下图所示点击 Save。

至此我们完成了 WorkMail 的事件记录和审核日志的配置,接下来我们可以通过CloudWatch Insights对邮件系统进行监控和审核。

事件和审核记录查询

AWS 提供以下监控工具,用于监控 Amazon WorkMail,在出现问题时进行报告,并在适当时自动采取措施:

  • Amazon CloudWatch 实时监控您的 AWS 资源以及您在 AWS 上运行的应用程序。例如,当您为 Amazon WorkMail 启用电子邮件事件记录时,CloudWatch 可以跟踪您的组织发送和接收的电子邮件。
  • 当在Amazon WorkMail 控制台中启用电子邮件和审核日志记录时,Amazon CloudWatch Logs 使您能够监视、存储和访问Amazon WorkMail 的电子邮件事件和审核日志。
  • AWS CloudTrail 捕获由您的 AWS 帐户或其代表进行的 API 调用和相关事件,并将日志文件传递到您指定的 Amazon S3 存储桶。
  • Amazon S3 使您能够以经济高效的方式存储和访问您的 Amazon WorkMail 事件。
  • Amazon Data Firehose 使您能够将事件数据流式传输到其他 AWS 服务,如 Amazon Simple Storage Service(Amazon S3)、Amazon Redshift、Amazon OpenSearch Service 等。

在本章节中,我们将深入探讨 CloudWatch Logs Insights 在监控和审核 Amazon WorkMail 时的实际应用。由于篇幅限制,我们精选了四个最常见且最具代表性的场景进行演示。这些示例不仅涵盖了日常运营中的关键方面,还展示了如何利用 CloudWatch Logs Insights 的强大功能来提升 WorkMail 的安全性和可管理性。

进入 CloudWatch 控制台,我们看到刚刚配置后产生的 2 个日志组,分别是事件记录和审核日志。

场景一:查询从指定域邮箱接收的所有邮件,我们这里查询从 qq.com 邮箱接收的所有邮件,在 Logs Insights 中执行下述查询语句。

fields @timestamp, event.eventName
| sort @timestamp asc
| filter (event.from like "qq.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")

我们可以看到演示系统接收到 qq.com 邮箱 2 封邮件,一共有 2 条记录,每条记录是一封邮件。

点击每条记录可以展开日志,即可看到邮件的来源和收件人,以及邮件更详细的信息,见下图。

场景二:查看您的组织收到或发送了多少封电子邮件。

输入下述语句,即可查询您组织中的每个收件人接收的电子邮件数,按降序排列。

stats count(*) as c by event.recipient
| filter event.eventName = "MAILBOX_EMAIL_DELIVERED"
| sort c desc

查询您组织中的每个发件人发送的电子邮件数,按降序排列。

stats count(*) as c by event.from
| filter event.eventName = "OUTGOING_EMAIL_SUBMITTED"
| sort c desc

场景三:查询哪些用户名/密码错误,登录失败。

邮件系统经常会遇到正常用户因密码输入错误无法登录,还有可能遇到黑客暴利破解密码的情况,我们可通过查询审核日志分析具体原因,采取进一步行动。

输入下述查询语句,将所有登录失败的记录列举,并查看登录失败的详细信息。

fields user, source_ip, protocol, auth_successful, auth_failed_reason | filter auth_successful = 0

场景四:您的组织希望阻止使用 Webmail 登录

Amazon WorkMail 支持多种协议的访问方式,可以通过 Access control rules 控制哪些协议被允许,加固邮箱的安全性。

演示配置 Access control rules 规则,deny 掉 webmail 协议,如下图所示。为测试目的我们尝试用 webmail 方式登录邮箱,发现此时已经不能登录。

进入 CloudWatch logs insights,输入如下查询语句,可看到被 deny 的详细信息。

fields user_id, source_ip, protocol, rule_id, access_granted | filter access_granted = 0

通过以上四个典型场景的演示,我们可以清晰地看到 CloudWatch Insights 在监控和审核 Amazon WorkMail 中的强大功能和灵活应用。这些示例不仅展示了如何快速识别和解决常见问题,还揭示了深入分析邮件系统运行状况的方法。然而,这些场景仅仅是 CloudWatch Insights 潜力的冰山一角。随着您对这一工具的深入使用,您将发现它能够适应更多复杂的查询需求,为您的 WorkMail 环境提供更全面、更精准的洞察。

结论

Amazon WorkMail 的事件记录和审核日志记录功能可全面查看您组织的电子邮件活动,四种不同的日志提供了对访问控制、身份验证尝试、与外部系统的交互和邮箱活动的可见性,通过与 AWS 服务和工具的本地集成提供灵活的日志交付。邮件系统管理员利用 CloudWatch Logs Insights 更方便地掌握电子邮件系统的业务可见性,进而增强电子邮件系统的整体安全性和可靠性并满足合规要求。

参考资料

《Amazon WorkMail 管理指南》:https://docs.thinkwithwp.com/workmail/latest/adminguide/what_is.html

《SES 开发者指南》:https://docs.thinkwithwp.com/ses/latest/dg/Welcome.html

《Amazon CloudWatch 用户指南》:https://docs.thinkwithwp.com/AmazonCloudWatch/latest/monitoringWhatIsCloudWatch.html

本篇作者

王彬

亚马逊云科技解决方案架构师,负责基于 AWS 云计算方案架构的咨询和设计,在国内推广 AWS 云平台技术和各种解决方案。在加入 AWS 之前就职于 VMware 公司担任高级系统工程师,负责企业私有云方案咨询和架构设计,在企业私有云和基础架构方面有丰富经验。