Auth0ログをEventBridge経由でDatadogで活用する

Transcript

1. Auth0ログをEventBridge経由で Datadogで活用する 山下 賢治 2025年05月28日 Japan Datadog User Group Meetup#10

   LT資料

2. 自己紹介 2 • 名前: 山下 賢治 (Kenji Yamashita) • 所属:

   株式会社kubell (旧Chatwork株式会社) ◦ 2022年4月 ~ フロントエンド開発部 ◦ 2022年10月 ~ モバイル管理画面チーム ◦ 2023年6月 ~ 認証グループ • SNS: ◦ GitHub: yamakenji24

3. 2024年7月1日よりChatwork株式会社は、株式会社kubell（読み：クベル）に社名変更しました。 株式会社kubellは、誰もが使いやすく、社外のユーザーとも簡単につながることができる 日本最大級のビジネスチャット「Chatwork」を運営しています。 また、チャット経由で会計、労務、総務など様々なバックオフィス業務をアウトソースできる 「Chatwork アシスタント」などのBPaaSサービスを幅広く展開。 ビジネスチャットの会社から、BPaaSで「働く」を変えるプラットフォームを提供する会社へ事業領域を拡張します。

4. 認証チームで取り扱っているもの 4

5. 認証チームで取り扱っているもの 5 Auth0の ログイン画面

6. Auth0を利用した認証に対するログへの要求 6 いつ・誰が・どこで ログイン失敗したか rate limitに 引っかかったか アカウントロックが 発動したか ログイン成功したか

   失敗理由は何か 異常な行動はないか

7. Auth0管理画面でのモニタリングの制約 Auth0の管理画面でも、モニタリングができる - ログインの成功・失敗数 - Attack Protectionのアクティビティ - Bot Detection,

   Suspicious IP, Brute-force Protection, Breached Password Detection Auth0が管理しており、メンテナンスコストはない一方で、以下の制約も存在する - モニターで閲覧できる期限が限定的 - Attack Protectionは14日以内 - ログイン成功・失敗は14日以内 - ログとしての保持期間が30日 - その他Auth0で取得可能なイベントログをモニターでカスタマイズすることができない - DatadogとAuth0のモニタリングと監視すべき場所が増えてしまう Auth0のログストリーム機能を用いてログを直接Datadogへ送ることはできるが... - コストがかなりかかってしまう - セキュリティ的にログのマスキングも行う必要がある → Auth0のログをAWSのメトリクスにして監視しよう 7

8. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 8

9. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 9 { "type": "Log EventType", "description": "description", … }

10. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 10 https://auth0.com/docs/deploy-monitor/logs/log-event-type-codes fu,fp,f limit_mu s

11. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 11 https://auth0.com/docs/deploy-monitor/logs/log-event-type-codes fu,fp,f limit_mu s failed login success login

    blocked

12. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 12 fu,fp,f limit_mu s

13. Auth0のログストリーム機能を活用してDatadogで閲覧可能にする 13 fu,fp,f limit_mu s Athenaで活用

14. Datadogのダッシュボードに設定しているAuth0メトリクスの例 14

15. Auth0のログをDatadogでみれて嬉しいこと 15 CloudWatchを経由してメトリクスの長期保存・検索が可能に - CloudWatch Metricsを経由してAuth0だけでは見れなかった過去のメトリクスまで遡ることが可能 - Datadog上で過去の傾向と比較して分析することが容易に 他のアプリケーションログと総合して相関分析が可能に -

    Auth0のログだけでは認証の動きはわかってもその後アプリケーション側がどうなっているかはわからない - アプリケーションのログも一緒のタイムラインで見ることで全体の因果関係が見やすくなる - ex. ログイン成功数が普段より多そう - → デスクトップアプリでのログインが普段より多そう - → デスクトップ周りの調査 アラートを柔軟に設定が可能に - 特定の条件の時にアラートを発火させたり異常な行動を検知した時にモニターでアラートを発火させることも可能に

16. まとめ 本日はAuth0のログをメトリクスとしてDatadogで監視している取り組み についてご紹介しました 今後もDatadogを活用しながら、可観測性やセキュリティ監視の精度向上 に取り組んでいきます！ 16

17. 働くをもっと楽しく、創造的に 17