AWS環境における脅威検知と対応 · © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. SUMMIT AWS環境における脅威検知と対応 A1- 02 Kazuaki

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

SUMM I T

AWS環境における脅威検知と対応

A 1 - 0 2

Kazuaki FujikuraSolutions ArchitectAmazon Web Services Japan K.K.


SUMM I T

自己紹介

藤倉和明（Kazuaki Fujikura）AWS Enterprise Solution Architect

好きなAWSサービス

Amazon CloudWatch

Amazon VPC

AWS WAF

好きな食べ物

🍚 白米 🍚


SUMM I T

Session Outline

• 対象者: AWS Admins, IT Admins, Security Professional,Security Operations Teams, Developers

• 本日のゴール：AWS環境における脅威検知とその対応方法についてベストプラクティスを学び、今日から実践できる手段について理解する


SUMM I T

本日のセッションのポイント

・脅威検知のために4つのサービスを有効化する

・脅威への対応プロセスを理解する


SUMM I T





SUMM I T

4つのサービスを有効化する


SUMM I T


Amazon GuardDuty

AWS ConfigAWS

CloudTrailAWS Security

Hub


SUMM I T

なぜ脅威検知は難しい？

人材とスキル不足

高い検知精度の要求

大量のデータセット


SUMM I T

• 「脅威」は「インシデント」を引き起こす潜在的な原因

• すべてのインシデントはイベントに含まれる

• すべてのイベントはインシデントでは無い

• 膨大なイベントからごく一部のインシデントを検知する必要がある

イベントとインシデントの違い

イベント

インシデント

AWS Config

AWS CloudTrail

Amazon EC2 OS logs

Amazon VPC Flow Logs


SUMM I T

まずはイベントを収集する

AWS CloudTrail

ユーザー振る舞いとAPI使用状況の追跡

誰が、いつ、何をしたのかを継続的に記録

AWS Config

AWS リソースの設定を評価、監査、審査


SUMM I T

AWS CloudTrail

AWSユーザの操作をロギング

• ユーザーのアクティビティをAPIレベルでトラッキング

ロギングデータはS3に保存される• ログファイルは暗号化され、gz 形式で

S3 に保存

CloudTrail 自体は無料• 全てのアカウントで有効にすることを推奨

CloudTrail


SUMM I T

AWS CloudTrail


SUMM I T

AWS Config

AWSリソースのレポジトリ情報から、リソースの変更履歴、構成変更を管理

• 構成情報は定期的にスナップショットとしてS3に保存

• 必要に応じSNSを使った通知も可能

Config Rules 構成情報を元に、現在のシステムが

あるべき状態になっているかを評価• AWS マネージドルール• カスタムルール(Lambda Function)

AWS Config


SUMM I T

AWS Configの有効化


SUMM I T

コンフィグタイムラインの自動収集

設定変更やリレーションシップの変更履歴がタイムラインで自動収集される


SUMM I T

イベントから脅威を検知するのは難しい

「ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能」を導入しているのは、大企業でも 29.9％であったのに対し、中小企業は 7％と、ログを活用した対策が普及しているとは言い難い

• 高価、費用対効果が分からない

• 経営層が境界防御以外のセキュリティに対して投資決定をしない

• 運用人材の不足

出典：独立行政法人情報処理推進機構：企業における情報システムのログ管理に関する実態調査 :https://www.ipa.go.jp/files/000052999.pdf


SUMM I T

膨大なログから脅威を検知する

Amazon GuardDuty

脅威インテリジェンスによる脅威検知や継続的監視によりAWSアカウント/ワー

クロードを保護

AWS Security Hub

AWS環境におけるセキュリティとコンプライアンス状

態を一元表示


SUMM I T

Amazon GuardDuty

• セキュリティの観点からセキュリティリスクを検知・可視化するAWSマネージド・サービス

• 分析のソースには下記を利用し、メタデータの連続ストリームを分析

• VPC Flow Logs

• AWS CloudTrail Event Logs

• DNS Logs

• 悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを使用して脅威を認識Amazon GuardDuty


SUMM I T

GuardDutyの有効化


SUMM I T

GuardDuty による脅威の検知と通知

悪意のあるスキャン

インスタンスへの脅威

アカウントへの脅威

Amazon GuardDuty

VPC flow logs

DNS Logs

CloudTrail

HIGH

MEDIUM

LOW

Findingsデータソース脅威の種類


SUMM I T

GuardDuty による脅威検出レポート


SUMM I T

AWS Security Hub

• AWS環境におけるセキュリティとコンプライアンス状態を一元表示• AWSセキュリティサービスやパートナーソリューションで生成され

た結果を集約• セキュリティの傾向を分析し重要度の高いセキュリティ課題を特定

Amazon Inspector

Amazon GuardDuty

Amazon Macie

AWS Security Hub

Securityfindings

providers

Findings

Insights&

Standards

OtherAWS

ConfigPartner

Solutions


SUMM I T

Security Hubの有効化


SUMM I T

セキュリティ状況を一元監視


SUMM I T

脅威への対応：カスタムアクション

Amazon EC2


SUMM I T


Amazon EC2

Event (event-based)

AmazonCloudWatch

AWS Lambda

AWS Security Hub

stop_instances(InstanceIds=[‘i-xxxxxxxxxxxxxxxxx',

])


SUMM I T


Amazon EC2

Event (event-based)

AmazonCloudWatch

AWS Lambda

AWS Security Hub


])


SUMM I T

カスタムアクションのサンプルもGitHub上に公開

https://github.com/aws-samples/aws-securityhub-to-emailhttps://github.com/aws-samples/aws-securityhub-to-slack

https://github.com/aws-samples/aws-securityhub-to-email

https://github.com/aws-samples/aws-securityhub-to-slack


SUMM I T

追加で検討するサービス

VPC Flow Logs CloudWatch Logs

VPCネットワークインターフェースでのIP通信

ログ

アプリケーションログファイルの監視保存

Amazon Macie

機械学習による機密情報の検出、分類、保護

Amazon Inspector

EC2インスタンスへの自動セキュリティ評価


SUMM I T

マルチアカウントの対応も検討

AWS Account2

AWS Account1

AWS Account3

Security Admin Account


SUMM I T


Amazon GuardDuty

AWS ConfigAWS

CloudTrailAWS Security

Hub

VPC Flow Logs CloudWatch Logs Amazon MacieAmazon Inspector


SUMM I T





SUMM I T

Protect Detect Respond RecoverIdentify

Investigate

Automate

NIST Cybersecurity Framework

AWS Systems Manager

AWS Config

Amazon VPC AWS Shield AWS WAF

AWS SingleSign-On

AWS FirewallManager

AWS Secrets Manager

AWS IoTDevice

Defender

AWS Key Management

Service

AWS Identity and Access

Management (IAM)

AmazonCloudWatch

AWS CloudTrail

Snapshot Archive

AWS Systems Manager

AWS Lambda AWS Step FunctionsAmazon

InspectorAmazon

GuardDuty

AmazonMacie

AWS Security Hub

参考：https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf


SUMM I T


Investigate

AutomateAWS Systems

Manager

AWS Config

AmazonCloudWatch

AWS CloudTrail

Snapshot Archive


AmazonInspector

AmazonGuardDuty

AmazonMacie

AWS Security Hub


AWS SingleSign-On

AWS FirewallManager

AWS Secrets Manager

AWS IoTDevice

Defender

AWS Key Management

Service


Management (IAM)

AWS Systems Manager

AWS Lambda AWS Step Functions



SUMM I T

脅威への対応プロセスを二つに分けて整理する

• 検知 ”した” 脅威への対応

• 検知 ”する” 脅威への対応


SUMM I T

検知 ”した” 脅威への対応プロセスの整理

VPC Flow Logs

DNS Logs

AWS CloudTrail

Amazon Simple Storage Service (S3)

Amazon GuardDuty

Amazon Inspector

Amazon Macie

AWS Security

Hub

GuardDutyData Sources

Macie Data Sources

AWS Config


SUMM I T


VPC Flow Logs

DNS Logs

AWS CloudTrail


Amazon GuardDuty

Amazon Inspector

Amazon Macie

AWS Security

Hub


Macie Data Sources

AWS Config


SUMM I T

VPC Flow Logs

DNS Logs

AWS CloudTrail


Amazon GuardDuty

Amazon Inspector

Amazon Macie

AWS Security

Hub


Macie Data Sources

AWS Config Amazon CloudWatch Logs

AWS CloudTrailAWS Config VPC Flow Logs



SUMM I T

DNS Logs


Amazon GuardDuty

Amazon Inspector

Amazon Macie

AWS Security

Hub


Macie Data Sources

AWS Config

Amazon EC2

AmazonCloudWatch

AWS Lambda


])

VPC Flow Logs

AWS CloudTrail

Amazon CloudWatch Logs

AWS CloudTrailAWS Config VPC Flow Logs



SUMM I T


Investigate

AutomateAWS Systems

Manager

AWS Config

AmazonCloudWatch

AWS CloudTrail

Snapshot Archive


AmazonInspector

AmazonGuardDuty

AmazonMacie

AWS Security Hub


AWS SingleSign-On

AWS FirewallManager

AWS Secrets Manager

AWS IoTDevice

Defender

AWS Key Management

Service


Management (IAM)

AWS Systems Manager




SUMM I T


Investigate

AutomateAWS Systems

Manager

AWS Config

AmazonCloudWatch

AWS CloudTrail

Snapshot Archive


AmazonInspector

AmazonGuardDuty

AmazonMacie

AWS Security Hub


AWS SingleSign-On

AWS FirewallManager

AWS Secrets Manager

AWS IoTDevice

Defender

AWS Key Management

Service


Management (IAM)

AWS Systems Manager




SUMM I T

検知 ”する” 脅威への対応

Security Automationの検討を


SUMM I T

Security Automationの重要性

拡張性・コスト・信頼性の観点からセキュリティ自動化は不可欠

AWS Summit Tokyo 2018「AWS によるセキュリティ・オートメーションの実践」

https://www.youtube.com/watch?v=qRkLV4qoXAY


SUMM I T

イベントドリブンな脅威への対応

Amazon CloudWatch Events

AWSリソースの変更イベントを

ニアリアルタイムで通知

AWS Config Rules

継続的にリソース変更を監視し

定義ルールへの準拠状況を通知


SUMM I T

AWS Config Rules

• AWS Config で AWS リソースの変更履歴や設定変更を管理

• AWS Config Rulesは現在の AWS リソースが「あるべき状態」になっているかどうかを継続的に自動で評価• 例1 : 公開状態になっている S3 バケットはないか

• 例2 : 全てのIAMユーザでMFAが有効になっているか

• 80 個を超える AWS 提供のマネージドルールがあり、すぐに利用可能


SUMM I T

AWS Config Rules - マネージドルール例

マネージドルール名説明（あるべき状態）

s3-bucket-public-read-prohibited

S3 バケットでパブリック読み取りアクセスが許可されないこと

elb-logging-enabled ELBのログ記録が有効になっていること

restricted-ssh EC2 インスタンスの SSH 受信ポートが制限されていること

ec2-instance-managed-by-systems-manager

EC2 インスタンスが SSM の管理下に入っていること

cloudtrail-enabled CloudTrail が有効化されていること

access-keys-rotated 指定した日数以内にアクセスキーがローテートされていること

• 80 個を超える AWS 提供の評価ルールが利用できる• カスタム評価ルールを定義することも可能


SUMM I T

CloudWatch Events

• Amazon CloudWatch Events は「ルール」を定義して、イベントソースとターゲットを紐付けるサービス

Event (event-based)

Event (time-base)

Rule

イベントソースとして各種AWS サービスを選択可能

AWS Lambda

ターゲットは SNS 、Lambda、Step Functionsなど

Amazon Kinesis

Amazon Simple Notification Service

Amazon Simple Queue Service

Amazon EC2

AWS Step Functions

AWS CodePipeline


SUMM I T

定期的/自動的に処理を行う

• イベントソースは「スケジュール」「イベントパターン」の二種類

• スケジュール ... 定期的にターゲットの処理を実行する

• イベントパターン ... 様々なイベントをトリガーにターゲットの処理を実行する• たとえば、誰かがコンソールにログインしたとき

• たとえば、GuardDutyで重大度が「高」の脅威を検知したとき

• たとえば、Config Rulesで特定のルールが非準拠となったとき

• たとえば、CloudTrailの設定が変更されたとき

Event (event-based)

Event (time-base)

Rule


SUMM I T

Amazon CloudWatch Events利用した対応例

Amazon GuardDuty findings

AWS Lambdafunction

Amazon CloudWatchEvents

CloudWatch Event

AWS Cloud

severity :8(high)


SUMM I T

脅威対応サービス

AWS Systems Manager

AWS Lambda

アプリケーションやバックエンドサービスのコードを自動実行

AWSリソースに関する運用情報取得や実行

AWS Step Functions

AWS の複数のサービスをサーバーレスのワーク

フローに整理し実行


SUMM I T

Security Automation Sample Architecture

Amazon CloudWatch

Events

AWSCloudTrail

AWS Config Rules

Lambda function

AWS APIs

検出

アラート

修復

対策

フォレンジック

Team collaboration (Slack etc.)

Amazon GuardDuty

VPC Flow Logs

Amazon Macie

AWS Systems Manager

AWS Step Functions

Amazon EC2


SUMM I T

AWS セキュリティワークショップ

• AWS環境で攻撃のデモを行い、攻撃中および攻撃後の脅威を調査し、通知と修復パイプラインを設定し、追加的な保護策を体験できるワークショップ

• 検証可能なAWSアカウントを用意すればすぐにでも実施可能

• 注：プロダクション環境のAWS アカウントは使用しないでくださいhttps://awssecworkshops.jp/

https://awssecworkshops.jp/


SUMM I T

本日のセッションのまとめ

・脅威検知のために4つのサービスを有効化する- AWS CloudTrail , AWS Config , Amazon GuardDuty , AWS Security Hub

・脅威への対応プロセスを理解する- [検知 ”した” 脅威への対応]

-> Security Hubを起点に脅威の検知とその対応プロセスを開始

- [検知 ”する” 脅威への対応]

-> Amazon CloudWatch Events , AWS Config Rulesでイベンドドリブンの対応


SUMM I T

Thank you!

SUMM I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Documents

AWS環境における脅威検知と対応 · © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. SUMMIT AWS環境における脅威検知と対応 A1- 02 Kazuaki