[Amazon Detectiveの最新アップデートをキャッチアップ]生成AIを使ってセキュリティ調査を高度化する #AWSreInvent #SEC244

[Amazon Detectiveの最新アップデートをキャッチアップ]生成AIを使ってセキュリティ調査を高度化する #AWSreInvent #SEC244

AWS re:Invent 2023で発表されたAmazon Detectiveのアップデートが分かりやすく紹介されているセッションです。是非動画をご覧ください。
Clock Icon2023.12.31

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

先月ラスベガスで開催されたAWS re:Invent 2023では多くのセッションが行われました。

本記事ではそのうちの一つについてまとめます。

re:Invent期間中、Amazon Detectiveには計4つのアップデートが発表されましたね。

本セッションでは実際にインシデントを調査する過程を示しながら、主に下記3つのアップデート内容についてくれるセッションです。特にIAMリソースの調査についてはかなり理解が深まるはずです。ご興味のある方は是非動画をご視聴ください。

セッション概要

SEC244 | [NEW LAUNCH] Elevate your security investigations using generative AI

Nov. 27 | 2:30 PM - 3:30 PM (PST)

Venetian | Level 3 | Murano 3306

Security investigations often involve complex tasks, such as deciphering event types and navigating through diverse data sources. In this breakout session, security analysts can learn the benefits of using Amazon Detective in streamlining their investigative processes. Discover how Detective effortlessly correlates and analyzes the results of finding groups, providing clear insights for security analysts while also analyzing complex, large-scale data to seamlessly reveal insightful patterns that streamlines security investigations for your organization.


SPEAKERS

  • Brent Maynard - Security Engineering Manager, AWS
  • Keith Gilbert - Senior Product Manager, AWS

セッション動画

内容

こちらがアジェンダ。

  • スレットランドスケープによるセキュリティ調査の課題
  • Amazon Detectiveの概要
  • クレデンシャル侵害の例
  • 攻撃の検知
  • 調査

アジェンダはありますが、個人的にはあまりアジェンダ通りの内容ではないように感じました。Amazon Detectiveの概要説明の後からはクレデンシャル侵害のサンプルインシデントをもとに説明が進みます。Amazon Detectiveを活用しないパターンと活用するパターンについて、調査と対応の過程が紹介されるので分かりやすいです。


セキュリティ調査には下記のように様々な課題があります。

  • アナリストはすべての最優先セキュリティissueをレビューできない
  • 熟練したセキュリティ専門家の不足
  • 潜在的なセキュリティfindings調査に伴う複雑化とコストの増加

この辺りは日本でもよく聞く課題ですね。


ここでAmazon Detectiveについての説明が入ります。

このように分かりやすい図でAmazon Detectiveがどのようなデータをソースに、どのようなことが出来るかが説明されます。

Amazon Detectiveが様々なログやFindingsをもとにbehaviorグラフを作成することやAmazon Bedrockにより分析が行われることが非常に分かりやすいですね。

Amazon Detectiveはこれらのデータソースに対応しています。ここでは今年のre:Inforceで発表されたAWS Security HubのFindings対応について主に触れられていました。

[アップデート] Amazon Detectiveを利用してAWS Security Hubの検出結果(ASFF)が調査できるようになりました | DevelopersIO

次にAmazon Detectiveのbehaviorグラフについて言及されています。発生したインシデントがどのようなものなのか調査するためにはグラフによる可視化は非常に助かります。

このbehaviorグラフも今年の3月に発表されたアップデートですね。

[アップデート]Amazon Detectiveが検出結果の相関を可視化するFinding Group Visualization機能が追加されました | DevelopersIO

これらの機能を使うことで、AWSにおけるセキュリティインシデント発生時の調査や対応が可視化出来たり、潜在的なセキュリティissueが統合的なダッシュボードで確認出来ます。複数のAWSセキュリティサービスのログやFindingsをもとに関係を可視化してくれるんですから、もちろん時間の節約になります。

これらがAmazon Detectiveを利用するメリットだとKeith Gilbert氏は言います。


ここからはクレデンシャル侵害の例を使いながら、実際に調査や対応をどのような過程で行うのかが説明されます。

また、それらの過程でAmazon Detectiveがどのように役立つのかが分かります。

ざっくり箇条書きですが、サンプルのシナリオはこんな感じ

  • Grafanaのインスタンスで発生
  • Grafana 3.0.1〜7.0.1におけるSSRFの脆弱性(CVE-2020-13379)を突いた攻撃
  • インスタンスではIMDSv1が有効化
  • DNSリバインディング
    • UnauthorizedAccess:EC2/MetadataDNSRebind

このようなインシデントを調査、対応する場合にAmazon Detectiveを使わないと大変です。この図から分かるようにそれぞれの過程で使うサービスが異なるため、時間と手間がかかります。また、もちろん作業するチーム(SOCやアナリストなど)も異なります。


それではAmazon Detectiveはどのように助けてくれるのか?ということで、ここからはAmazon Detectiveのアップデート紹介です。

Amazon DetectiveではAmazon GuardDutyのFindingsのうち関連性のありそうなものを検出結果グループとしてまとめてくれます。その検出結果グループが何なのか、ユーザーが理解しやすいように要約が提供されるようになりました。この要約はAmazon Bedrockで生成されているようです。

次はIAMプリンシパルの調査が行えるようになったアップデートです。

この機能によりIAMプリンシパルの怪しい動きをより深く早く検知出来るようになりました。

Keith Gilbert氏によると、通常約2-8時間かかる調査が、Amazon Detectiveを使えば約3-5分で完了するそうです。

そして最後はSecurity Lakeとの統合です。

Amazon Detectiveで調査する際、やはりCloudTrail LogやVPC Flow Logなど生のログを見たくなります。

今回Security Lakeと統合したことにより、それらのログを確認するのが容易になったとのことです。ログを確認する際のクエリも既に用意されているとのこと。

結果を確認することで、生のログから新たなイベントを見つけることも出来ます。


ここからはBrent Maynard氏によるお話です。

The new investigation ということで、先ほど紹介したクレデンシャル侵害の例をもとに、どのようにAmazon Detectiveを使って調査を行うかをBrent Maynard氏が説明してくれます。

実際のコンソールを示しながら話が進むため、どの過程でコンソールのどこを見れば良いのかが非常に分かりやすいです。特にIAMプリンシパルの調査機能についての理解が深まるかと思います。

ここは是非、動画を見て頂きたいです。


そして最後に、Amazon Detectiveを活用した場合のインシデント調査と対応における過程の図です。それぞれの過程で各AWSサービスが紐付けられていますが、それらがAmazon DetectiveのFinding Groupsとして一気通貫で確認出来ることが分かります。Security Lakeで各種ログを確認出来るのも最高ですね。

ただ、全て対応しても安心してはいけません。Amazon DetectiveやAmazon InspectorやAmazon GuardDutyを普段から活用し、これからも来るかもしれないサイバー攻撃に備えましょう。

最後に

本セッションのタイトルにもなっているように、Amazon Detectiveには生成AIを活用したアップデートが含まれています。今年のre:Inventは本当に生成AI祭でしたね。

今回は結構アップデートが来ていた印象のあるAmazon Detectiveですが、個人的にはインシデントレスポンスツールとしてこれからもどんどん使いやすいアップデートが増えてくれることを期待しています。

以上、べこみんでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.