GuardDutyイベントをCloud Optixで管理する
Sophos Cloud Optixをご紹介します。Cloud Optixはパブリッククラウドを対象にしたエージェントレスのSaaS型サービスです。クラウド環境の可視化をできるほか、設定がコンプライアンスに沿っているか確認できます。今回はAmazon GuardDutyインテグレーションを紹介します。
Amazon GuardDutyとは
GuardDutyは、AWSの脅威検出サービスです。VPCフローログ、DNSログ、CloudTrailログをモニタリングし、異常なアクティビティを検出します。例えば、EC2が不正プログラムに感染して、スパムメールを送ってしまったり、DDoS攻撃に加担するといったアクティビティや、IAM認証情報の漏洩が疑われる事象を検知します。実際に検知できる内容はユーザーガイドをご覧ください。
GuardDutyインテグレーション
Cloud Optixには、JIRA、Slackなどのインテグレーションが用意されています。
今回はGuardDuty連携を試します。GuardDutyを連携することで、発生したアラートをCloudOptixで管理できます。Cloud Optixのインテグレーション画面から、GuardDutyのアイコンを選択するとインテグレーションに必要な手順を確認できます。
まず、各リージョンでGuardDutyを有効にします。これから有効にする場合、以下のブログが参考になります。
AWS CLI 1.11.188以上を設定しておきます。未インストールの場合はユーザーガイドをご覧ください。
curlコマンドで連携用のスクリプトをダウンロードし、実行します。
$ curl -s "https://avidcore.s3-us-west-2.amazonaws.com/aws/configureGuardDutyEvents.sh" -o configureGuardDutyEvents.sh $ EXTERNAL_ID=xxxxxx-xxxxxx-xxxx-xxx-xxxxxxxxxxxx CUSTOMER_ID=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx DNS_PREFIX_FLOW=3.events.optix.sophos.com REQUEST_ID=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx bash configureGuardDutyEvents.sh
スクリプトの実行にはAdministrartor権限または、以下の権限が必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"lambda:CreateFunction",
"lambda:AddPermission",
"lambda:GetFunction",
"lambda:GetPolicy",
"events:PutTargets",
"events:PutRule"
],
"Resource": "*"
}
]
}
テストします。東京リージョンのGuardDutyコンソールからサンプルイベントを作成します。
CloudOptixのアラートに表示されます。アラートタイプはGuardDutyとなります。タイプを指定することでGuardDutyだけ表示したり、GuardDutyを除外できます。
アラートを選択し、ベルのアイコンを選択するとアラートを抑制し、アラート画面から消すことができます。GuardDutyのイベントが誤検知なのかインシデントなのかを確認し、誤検知であることを確認したら抑制するイメージです。インシデントの場合は対応を行ってから、抑制します。
先日ご紹介したSlackインテグレーションを有効にしておけば、以下のようにSlack通知できます。
テストのためにシドニーリージョンでもサンプルイベントを実行したところ、東京リージョンと同様に連携されました。
おわりに
Cloud OptixのGuardDutyインテグレーションを紹介しました。複数のAWSアカウント、複数リージョンのGuardDutyイベントをCloud Optixで管理できます。マルチクラウドのセキュリティ管理をお考えのかたは、導入を検討してみてはいかがでしょうか。
