こんにちは、臼田です。
みなさん、AWS環境のインシデント調査してますか?(挨拶
今回はre:Inforce 2023で行われた以下のセッションのレポートです。
セッション概要
セッションタイトル: TDR351-R | Broaden your scope: Analyze and investigate potential security issues
セッション概要: In this builders’ session, learn how you can more efficiently triage potential security issues with a dynamic visual representation of the relationship between security findings and associated entities such as accounts, IAM principals, IP addresses, Amazon S3 buckets, and Amazon EC2 instances. With Amazon Detective finding groups, you can group related Amazon GuardDuty findings to help reduce time spent in security investigations and in understanding the scope of a potential issue. Leave this hands-on session knowing how to quickly investigate and discover the root cause of an incident.
概要翻訳: このビルダー セッションでは、セキュリティの検出結果と、アカウント、IAM プリンシパル、IP アドレス、Amazon S3 バケット、Amazon EC2 インスタンスなどの関連エンティティとの関係を動的に視覚的に表現して、潜在的なセキュリティ問題をより効率的にトリアージする方法を学びます。 Amazon Detective の検出結果グループを使用すると、関連する Amazon GuardDuty の検出結果をグループ化して、セキュリティ調査や潜在的な問題の範囲の理解に費やす時間を短縮できます。 インシデントの根本原因を迅速に調査して発見する方法を理解して、この実践セッションを終了してください。
内容
このハンズオンでは、残念ながらすでに大量のGuradDutyの検知が上がっている、つまり攻撃を受けているAWSアカウントが払い出されるところから始まります。すっごくワクワクしますね!
GuardDutyの画面を開いてみるとこんな感じです。あーららあらあら
最初はCryptoCurrency:EC2/BitcoinTool.B!DNSの検知をベースに調査をしていきます。
次のステップではTrojan:EC2/DNSDataExfiltrationの内容を確認していきます。
そして関連するIPアドレス単位で調査をしたり、
IAM Roleについて調べたりしていきます。
こんな感じでAmazon Detectiveを利用しながら、インシデントの真相を確認していきます。
まとめ
TDR351-R | Broaden your scope: Analyze and investigate potential security issuesのハンズオンの内容について紹介しました。
Amazon GuardDutyやAmazon Detectiveをハンズオンで試すには、やはり実際の検知データがあると理解度が変わります。機会があればぜひみなさんもチャレンジしてみてください。
7
