[アップデート] AWS Network Firewallに3つのAWS Managed Threat Signaturesが追加されました

2022.07.30

はじめに

こんにちは。大阪オフィスの林です。

2022年7月29日のアップデートにて、AWS Network Firewallが3つのAWS Managed Threat Signaturesを追加したと発表がありました。

何が追加されたか?

今回のアップデートでは以下3つのシグネチャが追加されました。

名前 説明 キャパシティ
ThreatSignaturesMalwareCoinminingActionOrder コインマイニングを実行するマルウェアを検出するルールを含むシグネチャ 2200
ThreatSignaturesMalwareMobileActionOrder モバイルOSのマルウェアを検出するシグネチャ 4000
ThreatSignaturesPhishingActionOrder クレデンシャル(認証情報)フィッシングを検知するシグネチャ 4200

AWS Managed Threat Signatures自体は今年の5月に使えるようになっており、各シグネチャのルール自体は定期的にAWS側でメンテナンス/更新されていますが、新しくシグネチャが追加されたのは今回が初めてだと思います。

やってみた

簡単ではありますが、今回のアップデートで追加されたシグネチャをルールに追加するところまでの検証をしていきたいと思います。
Network Firewallから「ファイアウォールポリシー」を選択し対象のポリシーを選択します。

「ステートフルルールグループ」の「アクション」から「マネージドステートフルルールグループを追加」を選択します。

ポリシーにアタッチされていないシグネチャが表示されます。今回の検証では本アップデートで追加されたもの以外を予めアタッチしたポリシーを作成していたため、今回のアップデートで追加された3つのシグネチャのみ表示されています。

すべて選択して「ポリシーに追加」を選択します。

キャパシティの上限を超えてしまいエラーが出ました。

今回は検証なので、オーバー分のキャパシティを持つ他のシグネチャを削除し、新たに追加された3つのシグネチャの追加まで進めていきたいと思います。

なお、ステートフルルールのキャパシティ「30,000」は上限緩和が出来ない値のようなので、今後は採用するシグネチャをじっくりと検討する必要がありそうです。
AWS Network Firewall quotas

検証に戻りまして、ポリシーが正常に更新されました。

ちなみに

AWS Managed Threat Signaturesに変更があった場合に、SNS経由でメール通知を行う設定を入れていたのですが、シグネチャの更新扱いで今回のアップデートで追加されたシグネチャの情報も通知されていました。

まとめ

新たなマネージドなシグネチャが追加されたことにより、様々な脅威を検出し既知の脆弱性に対する攻撃からシステムを保護する機能が更に強化されました。
ただし、既存で存在しているすべてのマネージドなシグネチャを利用しようとするとキャパシティの上限に引っ掛かる(且つ上限緩和も出来ない)ので、提供されているマネージドなシグネチャの選択は設計段階でじっくりと検討する必要がありそうです。

以上、大阪オフィスの林がお送りしました!