[アップデート]DetectiveでIPアドレスの分析が強化されました

こんにちは、臼田です。

みなさん、AWS上の脅威分析してますか？(挨拶

今回は2021年1月のアップデートですが以下をやってみたので紹介します。

Amazon Detective が IP アドレス分析を強化

概要

最新情報画面から特に中核の内容を抜粋します。

Amazon Detective が IP アドレス分析を強化

Amazon Detective では、強化された IP アドレス分析の提供を開始しました。これにより、セキュリティに関する調査をより迅速に行えるようになりました。この新しい機能により、「この IP アドレスがアカウント内のリソースとインタラクションした期間はどれくらいか」、「この IP アドレスが通信した EC2 インスタンスはどれか」、「この IP アドレスと交換されたデータ量と、通信が行われたポートはどれか」、または「この IP アドレスから API オペレーションを呼び出したユーザーとロールはどれか」といった、特定の IP アドレスに関する質問への回答を得ることができます。この種の質問に対する回答を提供することにより、Detective は、セキュリティアナリストが IP アドレスの動作を迅速に判断できるようにするとともに、セキュリティインシデントの診断をサポートします。

これまでIPアドレス画面は少し味気ない画面だったのですがいろいろ追加されました。具体的には以下の4点が書かれています。

• この IP アドレスがアカウント内のリソースとインタラクションした期間はどれくらいか
• この IP アドレスが通信した EC2 インスタンスはどれか
• この IP アドレスと交換されたデータ量と、通信が行われたポートはどれか
• この IP アドレスから API オペレーションを呼び出したユーザーとロールはどれか

特にIPアドレス側から関連しているIAM UserやRoleが確認できるため、例えば攻撃者が利用したIAMプリンシパルの特定が非常に簡単になるところは個人的に嬉しいですね。

では見ていきましょう。

やってみた

それぞれの項目ごと見ていきます。

この IP アドレスがアカウント内のリソースとインタラクションした期間はどれくらいか

「リソースのインタラクション」タブでIPと関連しているIAMプリンシパルが確認できます。

この IP アドレスが通信した EC2 インスタンスはどれか

「リソースのインタラクション」タブの下方にIPアドレス側から関連するEC2インスタンスが確認できます。

この IP アドレスと交換されたデータ量と、通信が行われたポートはどれか

「概要」タブからインスタンスベースで通信しているデータ量とポートが確認できます。

この IP アドレスから API オペレーションを呼び出したユーザーとロールはどれか

CloudTrailのAPIベースでオペレーションの時系列が確認でき、詳細でIAMプリンシパルベースで確認ができます。

まとめ

かゆいところに手が届くアップデートでした。

Detectiveを活用できるように、普段から触っておくといいですね。