「re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)」というタイトルでAWS re:Inforce 2023 re:Cap Seminar – 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜に登壇しました #AWSreInforce

こんにちは、臼田です。

みなさん、AWSのセキュリティ対策してますか？(挨拶

今回はre:Inforce 2023のre:Capイベントである「AWS re:Inforce 2023 re:Cap Seminar - 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜」にて登壇した内容の共有です。

なお、LTになってますのでさっくりしてます。

資料

解説

re:Inforce 2023にみなさん参加されましたか？現地に行った方もリモートで参加した方もお疲れ様でした。

ちょー楽しかったですよね！！！！！！！！！１１１１１１１１１１１１１１１

参加できなかった方はこれから行われるre:CapやKeynoteの動画などを見て、来年への英気を養いましょう。

で、僕が喋る内容はその楽しかった話は一切せず、2つのアップデートについての話です。

re:InforceのGuardDutyとDetectiveのアップデート

re:Inforce 2023で以下2つのアップデートが出てきました。

1つ目はAmazon GuardDutyのサマリーダッシュボードの機能です。

詳しくはブログを見ていただければわかりますが、こんな感じのダッシュボードが作られました。いい感じじゃないですか？

2つ目はAmazon Detectiveの検出結果グループ機能と、そこでの可視化機能です。

こんな感じです。いい感じじゃないですか？

というわけで、この2つを利用した現代のAWSセキュリティ運用のやり方について紹介します。

理想のセキュリティ運用

理想のセキュリティは、GuardDutyで何も検知されていない状態です。

AWSのセキュリティ対策が、Well-Arcitectedフレームワークに従って適切な設計構築運用され、AWS Scurity Hubによってその状態が可視化対応の運用がされている状況であれば、GuardDutyが頻繁に反応するような状況は避けられます。

そのような状態を定常とし、出たものをすべて潰し込める状態が理想です。

でも、そこまでの道のりが遠い環境もありますよね。今回はそういった環境がメインの話です。

想定環境

今回紹介する運用のメインの想定環境は主に以下のような環境です。

• AWSアカウントが50とか100とかたくさんある環境
• GuardDutyの検知が大量に出ているけど放置している環境

こういった環境で特にサマリーダッシュボードが効果を発揮します。

ちなみにもし、そもそもGuardDutyが組織のAWS環境全体で有効化できていないのであれば、まずそこからやりましょう。

GuardDutyのサマリーダッシュボード活用

サマリーダッシュボードには以下の種類のウィジェットがあります。

• 概要
• 重大度別の検出結果
• 最も一般的な検出結果タイプ
• 最も多い検出結果を含むリソース
• 最も多く検出したアカウント
• 最も低頻度の検出結果

それぞれ活用ポイントがあるので紹介していきます。

概要

概要はざっくり合計の検知数やまずは高の検知の数などが見れます。高で検知されている検出結果はすぐに対応していきましょう。高のイベントは特に危険なものが多い、実際にやられている可能性が高いです。

数が多い場合にはAWSアカウントの重要度をベースにチェックしていきましょう。

最も低頻度の検出結果

特にこれは要チェックです。定常的にGuardDutyの検知があがっている環境では、その検知がノイズになってしまいます。

重要度が低いノイズを減らしてより重要なものを確認することができます。

最も一般的な検出結果タイプ

特に多い検出タイプのグラフで、おそらく問題のある設定やアーキテクチャにより検知されています。

例えばSecurity GroupでSSHを開放している、などなので、その環境で堅牢化する必要がある項目を見つけられます。

最も多い検出結果を含むリソース

これらのリソースは格好の的になっているやつです。重要なリソースであれば即対応しましょう。(そうじゃなくても即対応したいですね

Detectiveの検出結果グループ活用

これまでGuardDutyもDetectiveも基本1つの怪しいもの(Finding)を調査する使い方をしていました。

今回出てきたDetectiveの検出結果グループによって、複数のFindingにまたがって関連性を繋げつつ、いい感じに可視化してくれます。

可視化も今回始めて追加されました。嬉しい！！！

さらに複数のFindingを繋げて、攻撃の流れがMITRE ATT&CKの戦術にマッピングして表示されるので、攻撃フローが一発でわかります。

高のイベントがあったら、まず検出結果グループが作られていないか確認するといいでしょう。例えばEC2に対するポートプローブから始まって、SSHブルートフォース成功、InstanceCredentialExfiltration.OutsideAWSでクレデンシャル漏洩している、などが把握できます。

他にもS3漏洩などのシナリオがあったときでも、簡単に流れを確認しRoot Causeが確認できます。

さいごに

これらのアップデートの機能を駆使して、まず検知が上がっているところから暫定対処していきましょう。

暫定対処が終わったらSecurity Hubによる堅牢化を全体で行いつつ、堅牢化するための内容を設計指針や共通テンプレートなどに反映・周知していきましょう。

それでも起きるときは起きるので通知を受け取り即時対応できるようにして、セキュリティチームはその運用に注力してください。

うまく仕組み化して堅牢なAWS運用をしましょう！